Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:uzivatel:sw:nix:wpa_supplicant [2017/03/19 11:18] caletka@cesnet.cz [Konfigurace sítě se sdíleným klíčem] - doplnění o nešifrovaných sítích |
cs:uzivatel:sw:nix:wpa_supplicant [2018/10/04 10:55] (aktuální) caletka@cesnet.cz note -> wrap |
||
---|---|---|---|
Řádek 24: | Řádek 24: | ||
==== Správné ověřování identity RADIUS serveru ==== | ==== Správné ověřování identity RADIUS serveru ==== | ||
- | <note important>**Správné nastavení ověřování identity RADIUS serveru**, se kterým váš suplikant komunikuje, je **nezbytné pro ochranu vašeho hesla**. Věnujte mu proto náležitou pozornost! Další informace nalezne na stránce [[cs:uzivatel:sw:certifikaty]].</note> | + | <WRAP center round important 60%> |
+ | **Správné nastavení ověřování identity RADIUS serveru**, se kterým váš suplikant komunikuje, je **nezbytné pro ochranu vašeho hesla** i pro ochranu před únosem Wi-Fi provozu. Věnujte mu proto náležitou pozornost! Další informace naleznete na stránce [[cs:uzivatel:sw:certifikaty]]. | ||
+ | </WRAP> | ||
K ověření identity autentizačního serveru je nutný certifikát certifikační autority, která vydala certifikát RADIUS serveru vaší organizace. Program ''wpa_supplicant'' pracuje pouze s certifikáty formátu PEM. Ve výše uvedeném příkladu konfigurace jde o soubor ''/etc/ssl/example_CA.pem''. Pokud organizace používá certifikáty veřejných autorit, důvěryhodné v operačním systému, je možné nastavit důvěru také volbou ''ca_path'', směřující k adresáři obsahujícím veškeré důvěryhodné certifikáty (včetně symbolických odkazů vygenerovaných utilitou [[https://www.openssl.org/docs/man1.1.0/apps/c_rehash.html|c_rehash]]). Například takto: | K ověření identity autentizačního serveru je nutný certifikát certifikační autority, která vydala certifikát RADIUS serveru vaší organizace. Program ''wpa_supplicant'' pracuje pouze s certifikáty formátu PEM. Ve výše uvedeném příkladu konfigurace jde o soubor ''/etc/ssl/example_CA.pem''. Pokud organizace používá certifikáty veřejných autorit, důvěryhodné v operačním systému, je možné nastavit důvěru také volbou ''ca_path'', směřující k adresáři obsahujícím veškeré důvěryhodné certifikáty (včetně symbolických odkazů vygenerovaných utilitou [[https://www.openssl.org/docs/man1.1.0/apps/c_rehash.html|c_rehash]]). Například takto: | ||
Řádek 48: | Řádek 51: | ||
==== Ukládání hesla ve formě hashe ==== | ==== Ukládání hesla ve formě hashe ==== | ||
- | Standardně se heslo ukládá do konfiguračního souboru v otevřené podobě. Při použítí nejběžnějšího protokolu MSCHAPv2 to však není nutné, neboť k ověření hesla se použije pouze jeho NTLM hash. Hash ve formátu vhodném pro vložení do konfiguračním souboru je možné získat například tímto jednořádkovým skriptem: | + | Standardně se heslo ukládá do konfiguračního souboru v otevřené podobě. Při použítí nejběžnějšího protokolu MSCHAPv2 to však není nutné, neboť k ověření hesla se použije pouze jeho NTLM hash. Hash ve formátu vhodném pro vložení do konfiguračního souboru je možné získat například tímto jednořádkovým skriptem: |
<code> | <code> | ||
Řádek 56: | Řádek 59: | ||
</code> | </code> | ||
- | <note tip>Uložení hashe **nepředstavuje žádnou ochranu před zneužitím hesla**. Útočník, který se zmocní hashe jej může přímo použít k přihlášení (technika [[https://en.wikipedia.org/wiki/Pass_the_hash|pass the hash]]). Jde tak spíše o ochranu před odcizením hesla letmým pohledem. | + | <WRAP center round tip 60%> |
- | </note> | + | Uložení hashe **nepředstavuje žádnou ochranu před zneužitím hesla**. Útočník, který se zmocní hashe jej může přímo použít k přihlášení (technika [[https://en.wikipedia.org/wiki/Pass_the_hash|pass the hash]]). Jde tak spíše o ochranu před odcizením hesla letmým pohledem. |
+ | </WRAP> | ||
===== Konfigurace sítě se sdíleným klíčem ===== | ===== Konfigurace sítě se sdíleným klíčem ===== | ||
Řádek 76: | Řádek 81: | ||
Poskytnuté heslo je rovnou převedeno do 256bitového sdíleného tajemství WPA, takže původní heslo může být z konfigurace odstraněno. | Poskytnuté heslo je rovnou převedeno do 256bitového sdíleného tajemství WPA, takže původní heslo může být z konfigurace odstraněno. | ||
- | <note important>Nikdy do konfigurace WPA suplikanta **nepřidávejte sítě, které nepoužívají žádné šifrování!** Vystavili byste se tak riziku přesměrování na falešný přístupový bod a kompromitace Wi-Fi provozu. V případě, že nešifrovanou síť musíte pravidelně používat, definujte ji s volbou ''disabled=1'' a povolujte za běhu pouze podle potřeby.</note> | + | <WRAP center round important 60%> |
+ | Do konfigurace WPA suplikanta **nepřidávejte sítě, které nepoužívají žádné šifrování!** Vystavili byste se tak riziku přesměrování na falešný přístupový bod a kompromitace Wi-Fi provozu. V případě, že nešifrovanou síť musíte pravidelně používat, definujte ji s volbou ''disabled=1'' a povolujte za běhu pouze podle potřeby. | ||
+ | </WRAP> | ||