Cerber uniwersalny

Choć implementacje 802.1X wciąż dojrzewają, protokół ten już teraz można wykorzystać jako uniwersalny mechanizm kontroli dostępu w rozległych sieciach korporacyjnych wykorzystujących zarówno dostęp radiowy, jak i poprzez Ethernet.

Choć implementacje 802.1X wciąż dojrzewają, protokół ten już teraz można wykorzystać jako uniwersalny mechanizm kontroli dostępu w rozległych sieciach korporacyjnych wykorzystujących zarówno dostęp radiowy, jak i poprzez Ethernet.

O protokole 802.1X jako potencjalnie użytecznym narzędziu do bezpiecznego uwierzytelniania w sieciach mówi się od kilku lat. Koncepcja, która sprawdziła się w operatorskich sieciach dostępowych dial-up opartych na protokole PPP, idealnie wpasowała się w potrzeby środowisk WLAN. To właśnie dlatego wsparcie dla 802.1X jest już obecne w prawie wszystkich modelach -zwykłychî przełączników Ethernet.

Koegzystencja sieci kablowych i bezprzewodowych na dłuższą metę wymagać będzie optymalizacji kontroli dostępu, ale i kosztów z nią związanych. Protokół 802.1X spełnia wysokie wymagania techniczne pod względem bezpieczeństwa. Dzięki możliwości rozbudowy o nowe metody i schematy uwierzytelniania, jest też atrakcyjny pod względem długookresowej elastyczności. Biorąc pod uwagę powszechną dostępność rozwiązań LAN obsługujących 802.1X (przełączniki Ethernet, systemy Windows), można założyć, że konwergencja zarządzania dostępem właśnie na jego kanwie jest już przesądzona. To stawia przed administratorami sieci firmowych zupełnie nowe możliwości ń na tyle atrakcyjne, że warto poświęcić czas i środki (zwykle niezbyt duże), by bliżej przyjrzeć się tej technologii.

Po pierwsze i najważniejsze, protokół 802.1X działa w warstwie 2, bez poprawnego uwierzytelnienia niemożliwe jest więc skorzystanie z jakichkolwiek usług warstw wyższych. 802.1X oferuje przy tym znacznie więcej niż tradycyjne listy dostępowe na przełącznikach: bezpieczne przesyłanie danych uwierzytelniających między przełącznikiem a klientem oraz scentralizowane zarządzanie dostępem. Listy dostępowe mogą zresztą nadal działać niezależnie. Po drugie, 802.1X pozwala ujednolicić proces uwierzytelniania i uniezależnić go od medium fizycznego; biorąc pod uwagę współistnienie sieci Ethernet i WLAN, to bardzo atrakcyjna możliwość. Po trzecie, dzięki solidnej architekturze bezpieczeństwa oraz elastyczności 802.1X może stać się fundamentem dla bardziej zaawansowanych usług/zabezpieczeń.

Jak działa 802.1X

Architekturę sieci, w której 802.1X spełnia rolę uniwersalnego mechanizmu uwierzytelniania, przedstawiono na rys. 1. Użytkownik próbujący włączyć się do sieci zostaje automatycznie skierowany do działającej na najbliższym przełączniku (lub stacji dostępowej WiFi) usługi kontroli dostępu (802.1X Access Server). Dołączana do sieci stacja wysyła do niej wstępne żądanie dostępu, wskazując, jakie metody bezpiecznego uwierzytelniania obsługuje. Szczegóły schematu -wstępnej konwersacjiî są różne dla różnych protokołów uwierzytelniania w 802.1X (patrz ramka).

Usługa na przełączniku odpowiada, nawiązując ze stacją wstępne połączenie szyfrowane tymczasowym kluczem, wykorzystując preferowaną przez siebie metodę uwierzytelniania (PAP, MS-CHAP, MS-CHAPv2, EAP-MD5, EAP-TLS, EAP-TTLS, PEAP, LEAP, a ostatnio także EAP-FAST). i żąda od klienta podania dodatkowych parametrów, takich jak adres MAC, login i hasło itp. W kolejnym kroku usługa kontroli dostępu przekazuje żądanie wraz z otrzymanymi parametrami do centralnego serwera uwierzytelniającego, zwanego AAA (Authentication, Authorization, Accounting). Ta część komunikacji odbywa się zwykle za pośrednictwem protokołu RADIUS (Remote Authentication Dial-In User Service).

Jeżeli serwer AAA (RADIUS) uzna, że udostępnione przez użytkownika dowody tożsamości są wystarczające z punktu widzenia zasobów, do których chce uzyskać dostęp, wysyła do przełącznika lub stacji bazowej WLAN wiadomość zezwalającą na dostęp. W tym momencie usługa kontroli dostępu nawiązuje szyfrowaną sesję ze stacją kliencką.

Protokół 802.1X jako uniwersalna metoda uwierzytelniania użytkowników

Protokół 802.1X jako uniwersalna metoda uwierzytelniania użytkowników

Jeśli zostało to przewidziane w regułach określających politykę dostępu (np. na podstawie adresu IP), serwer RADIUS może także zażądać od klienta dodatkowych dowodów na to, że ma on prawo do dostępu do określonych zasobów. Żądanie może być także przekazane dalej, np. do serwera LDAP, który może być źródłem informacji o tym, co klient może. Serwer RADIUS działa wtedy zwykle w trybie proxy. Serwer RADIUS może też być zintegrowany z przełącznikiem lub stacją bazową, co ma miejsce np. w urządzeniach Cisco Aironet z oprogramowaniem IOS.

Jeśli jednak serwer RADIUS uzna, że żądanie dostępu jest próbą ataku, wysyła do urządzenia dostępowego sygnał, by odciąć dostęp. W sieci WLAN odłączenie nie oznacza oczywiście, że stacja, której próba dołączenia do sieci została odrzucona, nie może nasłuchiwać komunikacji innych stacji z urządzeniem dostępowym. Zagrożeniu temu można zapobiegać wybierając właściwy schemat uwierzytelniania.

Z certyfikatem lub bez

Jednym z kluczowych dylematów podczas wdrażania 802.1X jest wybór odpowiedniej metody uwierzytelniania. Różnice w funkcjonalności i poziomie oferowanego bezpieczeństwa są tu niekiedy dość znaczne. W największym skrócie, wybór sprowadza się do odpowiedzi na pytanie, czy uwierzytelnienie ma się opierać na certyfikatach cyfrowych, czy na loginach i hasłach - tu bowiem decyduje się poziom bezpieczeństwa i koszty wdrożenia (patrz ramka obok). Protokoły uwierzytelniania skompromitowane w sieciach WLAN (EAP-MD5, LEAP) w sieci przewodowej są raczej bezpieczne. Z drugiej strony, uzyskanie fizycznego dostępu do sieci LAN wcale nie jest bardzo trudne, co każe zachować ostrożność na wszelki wypadek.

Nie można jednak popaść w przesadę. Zastosowanie uwierzytelniania z podwójnym tunelowaniem - jak ma to miejsce w przypadku EAP-TTLS czy PEAP - może okazać się trudne z powodów wydajnościowych. A w konsekwencji także finansowych - być może trzeba będzie zakupić wydajniejszy sprzęt. Równoczesne logowanie się do sieci kilkudziesięciu czy kilkuset osób, np. o 8.00 czy 9.00 rano albo też po awarii zasilania, może być ponad siły przełącznika, stacji bazowej WLAN czy serwera uwierzytelniającego. Chodzi oczywiście o moc obliczeniową potrzebną do ustanowienia bezpiecznych tuneli.

Jest jeszcze problem uniwersalności. Czy ten sam mechanizm uwierzytelniania stosować dla wszystkich użytkowników, czy też może inaczej traktować użytkowników lokalnych, inaczej tych w sieci WAN, a jeszcze inaczej łączących się za pośrednictwem VPN? A co z gośćmi z zewnątrz - okazjonalnymi użytkownikami firmowej sieci WLAN? Jakkolwiek podział na grupy zaufania jest technicznie możliwy, pozostaje wątpliwość, czy ostateczne efekty są warte zachodu. Najwygodniej byłoby ustalić jedną metodę weryfikacji tożsamości i skupić się na jej efektywnym działaniu.

Na koniec pozostaje jeszcze sprawdzić, czy wszystkie warstwy infrastruktury wspierają ten sam schemat uwierzytelniania i tę samą jego wersję. Biorąc pod uwagę ich mnogość i fakt, że ich powstawanie było rozłożone w czasie, nie jest to wcale oczywiste. Z nowszymi urządzeniami nie powinno być problemu - w razie niezgodności powinna wystarczyć aktualizacja firmware. Kłopoty mogą pojawiać się w przypadku urządzeń starszych niż sprzed 3 lat.

Uścisk na powitanie

Różnice między metodami bezpiecznego uwierzytelniania stosowanymi w ramach protokołu 802.1X:

EAP-MD5 - nazwa użytkownika i hasło szyfrowane funkcją skrótu MD5; nadaje się głównie do środowisk przewodowych - w warunkach sieci WLAN jest zbyt podatny na podsłuch i łamanie haseł offline oraz ataki typu man-in-the-middle - zwłaszcza w związku z opóźnieniami przy reasocjacji podczas roamingu między stacjami bazowymi

EAP-TLS - metoda oparta na kluczach PKI i tunelowaniu TLS/SSL; daje wystarczający poziom bezpieczeństwa w sieciach WLAN i jest powszechnie wspierana przez producentów urządzeń

EAP-TTLS - uwierzytelnienie za pośrednictwem nazwy użytkownika i hasła jak EAP-MD5, jednak z bezpiecznym tunelowaniem po TLS/SSL

MS-CHAPv2 - technologia opracowana przez Microsoft różniąca się od EAP-MD5 tym jedynie, że wykorzystuje słabszą funkcję skrótu - MD4

PEAP - inaczej Protected EAP; rozwiązanie podobne do EAP TTLS, ale pozwalające na tunelowanie w TLS tylko protokołów uwierzytelniania opartych na EAP, a więc z wyłączeniem PAP czy MSCHAP/MS-CHAPv2

LEAP - czyli Lightweight EAP - opracowana samodzielnie przez Cisco wersja EAP z wzajemnym uwierzytelnianiem przez funkcje skrótów z długimi kluczami; podatna na ataki na zasadzie podobnej do EAP-MD5

EAP-FAST - metoda uwierzytelnienia bezpieczniejsza niż EAP-MD5 czy LEAP w tym sensie, że uniemożliwia seryjny atak słownikowy - każda próba nawiązania połączenia wymaga przeprowadzenia procedury włączania tunelowania; dzięki tunelowaniu uniemożliwia też "nagrywanie" wielu procedur logowania i łamania haseł offline.


Zobacz również