Projekt programu Inženýrská Informatika 1

Projekt programu Inženýrská Informatika 1 Přístup k lokální počítačové síti pomocí technologie Wi-Fi Ústav počítačové a řídicí techniky, VŠCHT Praha Řešitel: Jan Hornof (ININ 258) Vedoucí: Ing. Jaroslav Vovsík, Ph.D. Konzultant: Ing. Viktor Haškovec

1. Obsah 1. Obsah...2 2. Zadání...3 3. Úvod do sítí Wi-Fi...4 3.1. 2,4 GHz...4 3.2. 5 GHz...4 3.3. Kanály... 4 3.4. SSID - Service Set Identifier...5 3.5. Struktura Wi-Fi sítě...5 4. Zabezpečení sítě...6 4.1. Skryté SSID... 6 4.2. Kontrolování hardwarových adres klientů...6 4.3. IEEE 802.1X - řízení přístupu povolující jednotlivé porty... 6 4.4. WEP - Wired Equivalent Privacy... 7 4.5. WPA - Wi-Fi Protected Access... 7 5. Hardware... 8 5.1. AP OvisLink AirLive WL-5460AP...8 5.1.1. Technické parametry... 8 6. Síťové služby... 9 6.1. Protokol RADIUS a RADIUS Server... 9 6.1.1. Microsoft Windows 2003 Server RADIUS (IAS)...9 6.2. DHCP - Dynamic Host Configuration Protocol... 9 6.3. DNS Domain Name System...10 6.4. Active Directory (AD)... 11 6.5. Certifikační autorita (CA)... 11 7. Způsob řešení...12 7.1. Postup...12 7.2. Postup...12 8. Literatura...13 Přílohy 1. Popis instalace 2 / 13

2. Zadání Cílem projektu je zprovoznit připojování mobilních zařízení k lokální počítačové síti Ústavu počítačové a řídicí techniky (LAN) pomocí technologie Wi-Fi. Připojování musí být umožněno pouze oprávněným uživatelům LAN. Ověření připojení by mělo probíhat prostřednictvím tenkého klienta (prohlížeče). Součástí projektu je vytvoření návodu pro zprovoznění přístupu do LAN. 3 / 13

3. Úvod do sítí Wi-Fi Wi-Fi (Wireless Fidelity) je technologie bezdrátových sítí, která pro přenos dat využívá rádiového signálu na frekvenci 2,4 GHz. Pro používání tohoto pásma není třeba žádná licence a veškerou komunikaci je možno provádět zdarma bez jakékoliv registrace. 3.1. 2,4 GHz V dnešní době je využíváno několika standardů. První je 802.11b, s nejvyšší teoretickou rychlostí 11 Mbps (reálně okolo 5 Mbit). Postupem času vznikl dnes nejčastěji používaný standard 802.11g, který je schopen teoreticky pracovat rychlostí až 54 Mbps, což reálně odpovídá asi 12 Mbit v pásmu 2,4 GHz. Pásmo 2,4 GHz není určeno pouze pro technologii Wi-Fi, ale je využíváno i mnoha dalšími zařízeními jako třeba Bluetooth, některými bezdrátovými telefony a počítačovými periferiemi. Důvodem vzniku standardu 802.11g byl fakt, že pásmo 5 GHz, ve kterém již díky standardu 802.11i bylo možno používat vyšší rychlosti, není možné volně využívat všude v Evropě (viz další odstavec). 3.2. 5 GHz Standard 802.11a byl schválen již v roce 1999, avšak provozování sítí v bezlicenčním pásmu 5 GHz bylo v ČR (ale i v celé Evropské Unii) dlouhou dobu omezené a to až do září 2005. Tato Norma specifikuje celkem 237 kanálů od 5005 do 6100 MHz. Rozdílná frekvenční pásma 802.11a a 802.11b znemožňují přímou spolupráci. Je však možné používat přístroje, které pracují zároveň v pásmech 2,4 i 5 GHz. Následníkem Wi-Fi by měla být bezdrátová technologie WiMAX, která se zaměřuje na zlepšení přenosu signálu na větší vzdálenosti [1]. 3.3. Kanály Pro zvýšení možnosti zapojení několika nezávislých Wi-Fi sítí ve stejné lokalitě je generální licencí VO-R/12/08.2005-34 [2] vyhrazeno několik kanálů v rozmezí 2,412-2,484 GHz. Pokud se ve stejné lokalitě nachází sítí několik, pak si každé AP nastaví jiný kanál, čímž je zajištěno, že obě nepracují v naprosto totožném pásmu. Tak se rušení eliminuje. Celkem je dáno k dispozici 13 kanálů oddělených po 5MHz 1. 1 Ve skutečnosti standard pro 2,4GHz (norma IEEE 802.11b) určuje mnohem více kanálů, a to: 2312, 2317, 2322, 2327, 2332, 2337, 2342, 2347, 2352, 2357, 2362, 2367, 2372, 2412, 2417, 2422, 2427, 2432, 2437, 2442, 2447, 2452, 2457, 2462, 2467, 2472, 2484, 2512, 2532, 2552, 2572, 2592, 2612, 2632, 2652, 2672, 2692, 2712, 2732 (frekvence v MHz) - celkem se tedy jedná o 39 kanálů. I když je Wi-FiI pásmo definováno od 2,3 do 2,7 GHz, platná legislativa povoluje pouze jeho (zde tučně vyznačenou) část. 4 / 13

3.4. SSID - Service Set Identifier SSID je jedinečný identifikátor každé Wi-Fi sítě; je vysíláno přístupovým bodem (Access point - AP) pravidelně každých několik sekund v tzv. majákovém rámci (Beacon frame). Slouží klientům k pohodlné volbě bezdrátové sítě, ke které se chtějí připojit. Parametr SSID se skládá z řetězce ASCII dlouhého maximálně 32 znaků, jehož všechny znaky jsou alfanumerické (case-sensitive), pomlčka, podtržítko a tečka. Bezdrátová zařízení pokoušející se o vzájemnou komunikaci mezi sebou musí mít nastaveno stejné SSID. Nastavením různých SSID můžeme zajistit fungování několika bezdrátových sítí v jedné lokalitě a v rámci stejného frekvenčního rozsahu (viz následující odstavec). 3.5. Struktura Wi-Fi sítě Ad-hoc v bezdrátové síti ad-hoc, viz obr. 1, se klienti spojují navzájem a všichni jsou v rovnocenné pozici (peer-to-peer). Nikdo z účastníků spojení tedy nemá nastaven mód AP ani Client, všichni musí být v ad-hoc módu. Infrastrukturní sítě - infrastrukturní bezdrátová síť, viz obr. 2, obsahuje jeden nebo více přístupových bodů, které vysílají totožné SSID. Klient přepojován v závislosti na síle signálu, proto tento typ umožňuje klientovi volný pohyb ve větší síti. Obr. 1: Sí ť typu Ad-hoc Obr. 2: Infrastrukturní síť 5 / 13

4. Zabezpečení sítě Zásadní problém bezpečnosti bezdrátových sítí vyplývá z toho, že signál se šíří i mimo zabezpečený prostor bez ohledu na zdi budov; je proto třeba zabránit neautorizovanému přístupu do sítě. 4.1. Skryté SSID Skrývání SSID sice porušuje standard, ale je nejjednodušším zabezpečením bezdrátové sítě. Klientovi se síť nezobrazí v seznamu dostupných bezdrátových sítí, nicméně při připojování klienta k přístupovému bodu je SSID přenášeno v nešifrované podobě a lze jej tak snadno zachytit. 4.2. Kontrolování hardwarových adres klientů Hardwarová (MAC - Media Access Control) adresa je jedinečný identifikátor síťového zařízení. Je přiřazována síťové kartě bezprostředně při její výrobě, nicméně ji lze dnes u moderních karet dodatečně změnit. Skládá se ze 48 bitů a měla by se zapisovat jako tři skupiny čtyř hexadecimálních čísel (např. 0123.4567.89ab); mnohem častěji se ale píše jako šestice dvojciferných hexadecimálních čísel oddělených pomlčkami nebo dvojtečkami (např. 01-23-45-67-89-ab nebo 01:23:45:67:89:ab). Z hlediska přidělování je tato adresa rozdělena na dvě poloviny. O první polovinu musí výrobce požádat centrálního správce adresního prostoru a je u všech karet daného výrobce stejná [3]. Výrobce pak každému vyrobenému zařízení přiřazuje jedinečnou hodnotu druhé poloviny adresy. Zabezpečení funguje tam, že AP má k dispozici seznam MAC adres klientů, kterým je dovoleno se připojit. Vzhledem k tomu, že většina operačních systémů umožňuje povolit vysílat jinou MAC adresu, popř. úplně změnit MAC adresu zařízení, tato metoda také nepatří mezi nejbezpečnější. 4.3. IEEE 802.1X - řízení přístupu povolující jednotlivé porty IEEE 802.1X je standard organizace IEEE [19] pro řízení přístupu k síti povolující nebo zakazující jednotlivé porty, implementovaný ve všech moderních operačních systémech. Po připojení a detekci nového klienta je příslušný port označen jako neautorizovaný; v tomto stavu je povolena pouze 802.1X komunikace. Ostatní komunikace je na linkové vrstvě blokována. AP pošle požadavek na prokázání identity (EAP-request (Extensible Authentication Protocol)) klientovi, od kterého se očekává odpověď ve formě EAP-response. Tu pak server přepošle autorizačnímu serveru, který požadavek buď schválí, nebo zamítne. Výsledek je předán AP, které pak označí příslušný port jako autorizovaný a veškerá komunikace je povolena. Na konci relace, když se klient odhlašuje, pošle o tom switchi zprávu (EAPlogoff message), který následně označí port zpět na neautorizovaný, čímž opět 6 / 13

zablokuje veškerou komunikaci netýkající se 802.1X. Autentizaci obvykle provádí třetí strana (viz kapitolu RADIUS server). 4.4. WEP - Wired Equivalent Privacy WEP je součástí standardu IEEE 802.11 schváleným v roce 1999. Základní varianta algoritmu WEP využívá proudovou šifru RC4 pro šifrování dat a zabezpečení cyklickým kódem CRC-32 pro výpočet kontrolního součtu zajištění integrity. Standardní 64-bitový WEP používá 40-bitový klíč, který je zřetězen s 24-bitovým inicializačním vektorem. Inicializační vektor zajistí, aby byl vytvořen unikátní zašifrovaný řetězec nezávislý na ostatních řetězcích generovaných pomocí stejného klíče. Aby byl příjemce schopen dešifrovat řetězec, musí mít k dispozici stejný inicializační vektor jako odesílatel. Později se začal do bezdrátových zařízení implementovat rozšířený 128 bitový protokol WEP, který používá délku šifrovacího klíče 104 bitů. Účastník tak volí 26 znaků dlouhý řetězec (hexadecimálně), kde každý znak reprezentuje 4 bity. Spolu s inicializačním vektorem (4x26 + 24) tak dostaneme 128-bitový WEP klíč. Někteří výrobci nabízejí ve svých zařízeních i možnost použití nestandardního 256 bitového WEP klíče. 4.5. WPA - Wi-Fi Protected Access Tento typ zabezpečení vznikl jako reakce na předchozí (WEP), které se ukázalo jako velmi slabé. WPA je podmnožinou standardu IEEE 802.11i, jeho zavedení představuje zásadní zlepšení bezpečnosti bezdrátových sítí. Byl navržen pro použití ve spojení s 802.11X autentizačním serverem, který zajišťuje distribuci klíčů všem uživatelům sítě, může však být použit i v módu s předem sdíleným klíčem (preshared key), který je méně bezpečný. Data jsou šifrována pomocí proudové šifry RC4. Je použit 128-bitový klíč a 48-bitový inicializační vektor. Hlavním zlepšením oproti zabezpečení WEP je zavedení protokolu TKIP (Temporary Key Integrity Protocol), který zajišťuje dynamickou změnu klíčů. Protokolu TKIP se daří zamezit nedostatkům původního zabezpečení WEP, kdy použitím statických klíčů WEP mohlo dojít k rozluštění klíče WEP. Paket TKIP obsahuje: 128-bitový dočasný klíč, který je sdílen klientem a přístupovým bodem adresu MAC klientského zařízení 48-bitový inicializační vektor, který v paketu také nahrazuje číslo sekvence. Vzhledem k tomu, že TKIP pravidelně mění dočasný klíč, nemá případný účastník možnost nasbírat takové množství paketů šifrovaných jedním klíčem, které by mohly sloužit k prolomení zabezpečení. 7 / 13

5. Hardware 5.1. AP OvisLink AirLive WL-5460AP Tento AP patří k nejpoužívanějším produktům tohoto typu pro svůj výborný poměr cena/výkon. Pracuje s pásmem 2.4 GHz, dle novějšího standardu 802.11g [4] (zpětná podpora 802.11b [5] samozřejmostí). Zařízení WL-5460AP je vybaveno flash pamětí o kapacitě 2 MB a pamětí SDRAM o kapacitě 16 MB. Díky regulovatelnému maximálnímu výstupnímu výkonu 18 dbm a odpojitelné všesměrové anténce o zisku 2 db je ideální k pokrytí několika místností uvnitř budovy či přilehlého okolí za použití silnější antény. Obdobně funguje Repeater, který navíc nevyžaduje podporu od ostatních AP. Mezi bezpečnostní protokoly patří WEP o síle 64 či 128 bitů, nechybí modernější a bezpečnější verze WPA i WPA2. Lze také filtrovat nežádoucí klienty filtrováním MAC adres či skrytím SSID indentifikace sítě. Veškerou konfiguraci lze provádět přes webové rozhraní. K anténě se toto AP připojuje pomocí konektoru RSMA (male), tudíž lze použít buď anténu s konektorem RSMA (female) nebo případně jinou pomocí redukce (obr. 3). 5.1.1. Technické parametry Obr. 3: Konektor RSMA Funkce AP, Bridge, Client, Repeater WISP Client Router mode WISP + Universal Repeater Mode Odpojitelná anténa, 2x LAN port 802.1x, WPA, WPA2 a Web management Nastavení vysílací úrovně ve 6 krocích funkce WatchDog s použitím PING Izolace Wireless klientů ACK DHCP 802.11b/g Hardware 2x 10/100Mbps LAN Port 2MB Flash, 16MB SDRAM Reversní SMA anténní port Power, LAN, WLAN LED indikátor Anténa 2 dbi odpojitelná di-pólová anténa reversní SMA konektor Frekvenční rozsah USA (FCC) 11 kanálů: 2.412GHz~2.462GHz Evropa (ETSI) 13 kanálů : 2.412GHz~2.472GHz Japonsko (TELEC) 14 kanálů :2.412GHz~2.483GHz Typy modulace 11g Orthogonal Frequency Division Multiplexing (64QAM, 16QAM, QPSK, BPSK) 11b Direct Sequence Spread Spectrum (CCK, DQPSK, DBPSK) Data Rate: 54, 48, 36, 24, 18,11, 5.5, 2, 1 Mbps Vysílací výkon 18dBm - nastavitelný v šesti krocích Zabezpečení WEP 64/128-bit 802.1x Radius Support WPA/WPA2-PSK Prostředí Provozní teplota: 0 až 60 C Provozní vlhkost: 20 až 80%rH nekondenzující Skladovací teplota: -20 až 65 C Skladovací vlhkost: 95% max. Napájení 12V DC Rozměry a hmotnost 135 x 100 x 26mm (ŠxHxV) 180 g 8 / 13

6. Síťové služby 6.1. Protokol RADIUS a RADIUS Server RADIUS je autentizační, autorizační a účtovací protokol používaný pro přístup k síti nebo pro IP mobilitu. Po připojení k poskytovateli Internetu (např. AP) je vyžadováno přihlašovací uživatelské jméno a heslo. Tato informace je předána RADIUS serveru přes RADIUS protokol. RADIUS server ověří pravost informace použitím autentizačních schémat a pokud je uživatelské jméno a heslo v pořádku ověřeno, server autorizuje přístup k poskytovateli internetu. RADIUS protokol používá se MD5 [6] hashování. RADIUS byl původně vyvinut společností Livingston Enterprises pro jejich produkt PortMaster a později (1997) zveřejněny jako RFC 2058 [7] a RFC 2059 [8]. V současné době existuje několik komerčních a open-source RADIUS serverů. Vlastnosti se liší, ale větišina umožňuje dohledávat uživatele v textových souborech, LDAP serverech, různých databázích a podobně. Účtovací informace se mohou zapisovat do textových souborů, různých databází, přeposílat na externí servery a podobně. I když nebyl RADIUS původně vytvořen pro autentizační metody v bezdrátových sítích, vylepšuje WEP zabezpečení ve spojení s ostatními bezpečnostními metodami. Existuje několik RADIUS serverů od různých výrobců, např. FreeRADIUS, OpenRADIUS, Mac OS X RADIUS Server nebo Microsoft IAS (Internet Authentication Service). 6.1.2 Microsoft Windows 2003 Server RADIUS (IAS) Služba ověřování v Internetu (IAS) v systémech Microsoft Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition a Windows Server 2003 Datacenter Edition je implementací serveru RADIUS společnosti Microsoft. Jako server RADIUS provádí služba IAS centrální ověřování, autorizaci a účtování mnoha typů přístupu k síti včetně bezdrátového připojení [10]. 6.2. DHCP - Dynamic Host Configuration Protocol DHCP je aplikační protokol z rodiny TCP/IP. Používá se pro automatické přidělování IP adres koncovým stanicím v síti. Současně s IP adresou je klientům posíláno také další nastavení potřebné pro používání sítě jako např. adresa nejbližšího směrovače (default gateway), masku sítě, adresy DNS serverů spod. DHCP protokol je rozšířením staršího BOOTP protokolu, který přiděloval IP adresy na neomezenou dobu. DHCP je s BOOTP obousměrně kompatibilní. To znamená, že DHCP klienti dovedou získat nastavení z BOOTP serveru a DHCP server může přidělit IP adresu BOOTP klientovi. 9 / 13

Klient vyšle do sítě požadavek DHCPDISCOVER. DHCP servery zachytí požadavky a zašlou zpět zprávu DHCPOFFER. Klient si poté jednu z odpovědí vybere a pošle serveru DHCPREQUEST. Oslovený server poté žádost potvrdí - DHCPACK nebo zamítne - DHCPNAK. Klient si nemusí hned také vybrat odpověď a může poslat zprávu, že si to rozmyslí - DHCPDECLINE. Klient je povinen po určité době požádat o obnovu své IP adresy, pokud tak neučinní, riskuje že server IP adresu přidělí jinému klientovi. Obnova IP adres se děje kvůli tomu, aby nedošlo k blokaci IP adres už nepracujícími klienty. Pokud chce klient zkončit před lhůtou, zasílá zprávu DHCPRELEASE. Důvodem používíní DHCP je výhoda centrálního přidělování TCP/IP a tím jednodušší administrace všech hostů v síti. 6.3. DNS Domain Name System DNS je hierarchický systém doménových jmen, který je realizován servery DNS a protokolem DNS, kterým si servery vyměňují informace. Jeho hlavním úkolem a příčinou vzniku jsou vzájemné převody doménových jmen a IP adres. Prostor doménových jmen tvoří strom. Každý uzel tohoto stromu obsahuje informace o své doméně a odkazy na domény podřízené. Kořenem stromu je tzv. kořenová doména, která se zapisuje jako samotná tečka. Pod ní se v hierarchii nacházejí tzv. domény nejvyšší úrovně (Top-Level Domain - TLD). Ty jsou buď tematické nebo státní [9]. Strom lze administrativně rozdělit do zón, které spravují organizace nebo soukromé osoby, přičemž taková zóna obsahuje autoritativní informace o spravovaných doménách. Výhoda tohoto uspořádání spočívá v možnosti zónu rozdělit a správu její části svěřit někomu dalšímu. Nově vzniklá zóna se tak stane autoritativní pro přidělený jmenný prostor. Doménové jméno se skládá z několika částí oddělených tečkami. Na jeho konci se nacházejí domény nejobecnější, směrem doleva se postupně konkretizuje. DNS server může hrát jednu ze tří rolí: Primární server je ten, na němž data vznikají. Pokud je třeba provést v doméně změnu, musí se editovat data na jejím primárním serveru. Každá doména má právě jeden primární server. Sekundární server je automatickou kopií primárního. Průběžně si aktualizuje data a slouží jednak jako záloha pro případ výpadku primárního serveru, jednak pro rozkládání záteže u frekventovaných domén. Pomocný (caching only) server slouží jako vyrovnávací paměť pro snížení záteže celého systému. Každý klient má ve své konfiguraci síťových parametrů obsaženu i adresu lokálního DNS serveru, na nějž se má obracet s dotazy. V operačních systémech odvozených od Unixu je v souboru /etc/resolv.conf, v MS Windows se zobrazí příkazem ipconfig /all. 10 / 13

Běžní uživatelé se setkají jen s internetovým stromem domén. Je ovšem možné založit libovolné množtví takových stromů. Příkladem budiž neoficiální strom czf fungující uvnitř některých privátních sítí v ČR. 6.4 Active Directory (AD) Active Directory je implementace adresářových služeb LDAP firmou Microsoft pro použití v prostředí systému Microsoft Windows. Active Directory umožňuje nastavovat politiku, instalovat programy na mnoho počítačů nebo aplikovat kritické aktualizace v celé organizační struktuře; dále také ukládá informace o objektech v síti a poskytuje uživatelům a správcům sítě přístup k těmto informacím. Active Directory ukládá své informace a nastavení v centrální organizované databázi. tudíž poskytuje síťovým uživatelům přístup k povoleným prostředkům na libovolném místě prostřednictvím jediného přihlášení. Správcové sítě mají díky AD k dispozici intuitivní hierarchické zobrazení sítě a centrální bod pro správu všech síťových objektů. 6.5 Certifikační autorita (CA) Certifikáty se používají k ověřování přístupu do sítě, protože poskytují silné zabezpečení při ověřování uživatelů a počítačů. Certifikáty používají dvě ověřovací metody: protokol EAP-TLS (Extensible Authentication Protocol - Transport Level Security) a protokol PEAP (Protected Extensible Authentication Protocol). Obě metody vždy používají certifikáty k ověřování serveru. Podle typu ověřování nakonfigurovaného pomocí ověřovací metody lze certifikáty použít k ověřování uživatele a k ověřování klienta. Bezdrátové klientské počítače používají ověřovací metodu PEAP-EAP-MS- CHAPv2. Metoda PEAP-EAP-MS-CHAPv2 je metoda ověřování uživatele založená na heslech používající zabezpečení certifikátu (TLS - Transport Level Security) s certifikáty serverů. Během ověřování metodou PEAP-EAP-MS-CHAPv2 poskytuje server služby IAS nebo server služby RADIUS klientovi certifikát k ověření své identity (je-li v klientském počítači se systémem Windows XP Professional nakonfigurována možnost Ověřit certifikát serveru). Ověřování klientského počítače a uživatele probíhá pomocí hesel, čímž jsou částečně vyloučeny potíže se zaváděním certifikátů do bezdrátových klientských počítačů. Bezdrátové klientské počítače a přepínače používající ověřování 802.1X mohou používat také ověřovací metodu PEAP-EAP-TLS poskytující spolehlivé zabezpečení. Ověřovací metoda PEAP-EAP-TLS používá infrastrukturu veřejných klíčů (PKI personal Key Infrastructure) společně s certifikáty k ověřování serverů a s kartami Smart Card nebo certifikáty k ověřování klientských počítačů a uživatelů. 11 / 13

7. Způsob řešení 7.1. Postup Následující odstavce stručně popisují postup, kterým bylo řešeno zadání. Informace o konkrétních službách a nastaveních jsou k dispozici v příloze 1. Nejprve byly pospojovány jednotlivé části hardware pomocí nekříženého ethernetového kabelu. V počítači jsou dvě síťové karty, z nichž jednou je spojen se školní sítí a druhou je spojen s AP. Dalším krokem bylo nainstalování potřebného software. Nejprve bylo použito stručného návodu, který popisoval pouze základní instalaci služeb a nijak konkrétně se nevěnoval konfiguracím jednotlivých z nich. Pomocí tohoto návodu se zadání nepodařilo splnit. Pomocí jiného, podrobnějšího návodu, který se již věnoval detailnímu nastavení konkrétních služeb, se podařilo zprovoznit systém s požadovanou funkčností. Tento návod byl také použit jako předloha při tvorbě přílohy 1 této práce. Jediným větším problémem kromě neúspěchu prvního návodu byla skutečnost, že služba Active Directory se musí instalovat jako první a je potřeba ji nainstalovat i s podporou stránek ASP, což bylo při prvním pokusu opomenuto, tudíž se musely všechny ostatní služby odinstalovat a začít znovu. Nedokonalost a nepřívětivost použitého software spočívá v nutnosti restartovat počítač po instalaci některých služeb. Dále se vyskytly nečekané problémy, když se služby instalovaly dohromady (doporučuji instalovat jednu po druhé a vždy se přesvědčit, zda je opravdu funkční) a v neposlední řadě byly matoucí neúplné, nejasné, nebo zcela nic neříkající chybové zprávy (Např. Nějaký program nebo služba selhal při startu systému. ). Po instalaci a ověření fungování byla vytvořena a umístěna do kořenového adresáře ISS přihlašovací XHTML stránka, která může být v budoucnu použita pro autentizaci přes webový prohlížeč. 7.2. Závěr Tato práce názorně demonstruje užitečné využití prostředků, jež nabízí software pro autentizaci v bezdrátových sítích. Jak již bylo naznačeno, vylepšit tento systém by bylo možno např. implementací autentizace přes tenkého klienta (prohlížeč). Zajímavé by také bylo nastavit a vyzkoušet fungování stejného systému na jiných platformách (Mac OS X Server - obsahuje všechny potřebné služby, Linux s využitím free software). 12 / 13

8. Literatura [1] WiMAX. [online]. [cit. 2007-10-09]. <http://en.wikipedia.org/wiki/wimax>. [2] Standard VO-R/12/08.2005-34. <http://www.ctu.cz/164/download/vor/vor-12-08-2005-34.pdf> [3] Adresních prostory pro jednotlivé výrobce. <http://standards.ieee.org/regauth/oui/oui.txt> [4] Standard 802.11g. <http://standards.ieee.org/getieee802/download/802.11g-2003.pdf> [5] Standard 802.11b. <http://standards.ieee.org/getieee802/download/802.11b-1999.pdf> [6] MD5 specifikace. <http://www.kleinschmidt.com/edi/md5.htm> [7] RFC2058. <http://www.freeradius.org/rfc/rfc2058.txt> [8] RFC2059. <http://www.freeradius.org/rfc/rfc2059.txt> [9] Root-Zone Whois Information. [online]. [cit. 2007-10-04]. <http://www.iana.org/root-whois/index.html> [10] IAS as a RADIUS server security considerations. [online]. [cit. 2007-11-10] <http://technet2.microsoft.com/windowsserver/en/library/bfa1451a-6f53-4792-98a0-00d10977fd2c1033.mspx?mfr=true> 13 / 13