Zabezpečte si mobilní přístroje silně pomocí protokolu 802.1X

Když se uživatelé připojují pomocí zařízení s Androidem do sítě zabezpečené na podnikové úrovni, musí vyplnit mnoho nastavení – a to pro ně může být poměrně matoucí.

Když se ale připojují pomocí přístroje s iOS (iPad, iPhone nebo iPod Touch), musejí obvykle vyplnit jen uživatelské jméno a heslo. Přitom ale nemohou pokročilá nastavení 802.1X v zařízení upravit. Naštěstí ale existují přívětivý způsoby, jak to vyřešit.

Instalace certifikátů v Androidu

Pokud používáte metodu autentizace na základě certifikátu jako TLS, musíte nejprve nainstalovat digitální certifikát uživatele. Ten možná budete chtít načíst do Androidu i v případě, že nepoužíváte autentizaci na něm založenou.

U většiny metod autentizace můžete volitelně nainstalovat certifikát od příslušné autority, který autentizační server používá k zapnutí verifikace. Stejně jako u verifikace serveru ve Windows to může pomoci při ochraně před útoky MITM (člověk uprostřed). Digitální certifikáty jsou malé soubory s příponou jako .p12, .pfx nebo .crt.

V novějších verzích Androidu je instalace certifikátů jednoduchá. Po stažení certifikátu se automaticky otevře obrazovka pro jeho importování. Certifikát pojmenujte a jako způsob použití přihlašovacích údajů vyberte možnost Wi-Fi. Pokud není zabezpečení displeje telefonu aktivované, můžete být vyzváni, abyste jej zapnuli.

Po stažení uživatelského nebo CA certifikátu vás může Android automaticky vyzvat k jeho importu.

Pokud používáte starší verzi Androidu, může být nutné spustit proces importu ručně. Nejprve si stáhněte nebo přeneste certifikát do zařízení. Poté přejděte do nastavení Security (Zabezpečení) nebo Location & Security (Poloha a zabezpečení) a vyberte položku Install from SD card (Instalovat z SD karty).

Poznámka: Namísto SD karty se v některých telefonech uvádí „device storage“ (tj. podle jazykové verze úložiště či paměť zařízení). Pokud jste to ještě neudělali, budete vyzváni k vytvoření hesla pro úložiště přihlašovacích údajů.

Pamatujte si, že nainstalované certifikáty můžete vždy odstranit tak, že v nastavení zabezpečení použijete příkaz Clear credentials (Vymazat přihlašovací údaje), což vám následně v novějších verzích systému Android umožní odstranit PIN či heslo pro zZámek displeje.

Takový úkon však odstraní všechny vámi přidané certifikáty. Chcete-li odstranit jen ty uživatelské, vyberte z bezpečnostních nastavení položku Trusted credentials (Důvěryhodné přihlašovací údaje) a kartu User (Uživatel), kde se jednotlivé certifikáty zobrazí a kde je také možné je mazat.

Nastavení protokolu 802.1X v Androidu

Jakmile se pomocí Androidu poprvé připojíte do Wi-Fi sítě zabezpečené na podnikové úrovni, zobrazí se vám obrazovka s nastavením autentizace. Přestože mohou mít z jejího obsahu někteří uživatelé obavy, jsou na ní obvykle jen dvě povinná pole: identita (uživatelské jméno) a heslo.

Nastavení autentizace zobrazené během počátečního připojení lze později upravit přidržením prstu na názvu sítě.

Pokud se správná metoda EAP nevybere, zvolte metodu podporovanou autentizačním serverem –-- například PEAP, TLS, TTLS, FAST nebo LEAP. Pro většinu metod EAP můžete volitelně zadat certifikát CA, který je ale nutné nejprve nainstalovat, jak se popisuje v předchozí části. Pro TLS můžete také zadat certifikát uživatele, který už musí být nainstalovaný.

Zde jsou nastavení, která najdete při použití metod PEAP nebo TTLS:

• Phase 2 authentication (Autentizace fáze 2): Určuje metodu vnější autentizace jako MS-CHAPv2 nebo GTC. Použijte podporovaný autentizační server a mějte na paměti, že MS-CHAPv2 je nejoblíbenější. Pokud nevíte, zkuste vybrat možnost None (Žádná).
• Identity (Identita): Zde zadáte uživatelské jméno, které by v závislosti na konkrétní síti mohlo obsahovat také název domény, například jnovak@firma.cz.
• Anonymous identity (Anonymní identita): Ve výchozím nastavení se uživatelské jméno (identita) posílá na autentizační server dvakrát. Poprvé nešifrované jako vnější identita (anonymní identita) a podruhé uvnitř kódovaného tunelu jako vnitřní identita. Ve většině případů nemusíte použít skutečné jméno pro vnější identitu, což slídilům zabrání ho zjistit. V závislosti na vašem autentizačním serveru však možná budete muset použít správnou doménu nebo oblast. Pro anonymní identitu doporučujeme používat náhodné uživatelské jméno jako např. „anonym“. Případně, pokud se budoue požadovat doména nebo oblast: „anonym@domena.cz“.

• Enter password (Zadejte heslo): Zde samozřejmě zadáte heslo přidružené k zadanému uživatelskému jménu.

Tato nastavení můžete vždy v budoucnosti změnit. Jednoduše dlouze přidržte název sítě a vyberte možnost Modify network config (Upravit konfiguraci sítě).

 Instalace certifikátů na zařízení s iOS

Pokud používáte metodu autentizace, založenou na certifikátu, jako je například TLS, musíte pro každé zařízení se systémem iOS stejně jako u systému Android nejprve nainstalovat digitální certifikát uživatele.

U zařízení s iOS však nemusíte ručně instalovat...

Kompletní článek vyšel v SecurityWorldu.  Můžete si jej jak v tištěné, tak i elektronické podobě objednat na adrese našeho vydavatelství.