www.itlogika.pl

Kontrola dostępu oparta na portach pozwala na restrykcyjne sprawdzanie tożsamości użytkowników przed udostępnieniem zasobów sieciowych. Szerokie wsparcie producentów sprzętu sieciowego dla protokołu RADIUS umożliwia stosowanie uwierzytelniania 802.1x. Co więcej, użycie odpowiednich atrybutów pozwala na dynamiczne konfigurowanie urządzeń sieciowych bazując na tożsamości użytkownika. Samo uwierzytelnianie pozwala na autoryzację dostępu do sieci i odmowę dostępu użytkownikom niezaufanym.

Budując system zabezpieczeń nie należy zapominać o tym, że najwięcej zagrożeń pochodzi z wnętrza sieci. Pozostawienie otwartych portów dostępowych przełączników czy niedostateczne zabezpieczenie urządzeń beprzewodowych stanowi szeroką bramę dla intruzów.

Kolejna kwestią jest śledzenie aktywności użytkowników i sprawdzanie miejsca i czasu podłączania sie do sieci. W niektórych lokalizacjach istnieją wyraźne ograniczenia dotyczące obecności pracowników w określonych pomieszczeniach. wynikają one z prostego faktu - np. pracownik ochrony nie powinien mieć możliwości korzystania z sieci w dziale księgowości, ponieważ potencjalnie miałby możliwość przesyłać stamtąd jakies dane używając swoich poświadczeń. Podobnym ograniczeniom podlegają godziny, w których użytkownicy mają prawo korzystać z sieci korporacyjnej. Każdy dostęp poza godzinami pracy powinien być uzasadniony i udokumentowany - w innym wypadku powinien być uznany za incydent bezpieczeństwa.

Powyższe zagadnienia mogą być realizowane poprzez przystosowanie w sieci kontroli dostępu oraz śledzenia aktywności użytkowników w standardzie 802.1x. Standard 802.1x to kontrola dostępu bazującego na porcie, która używa fizycznych własności infrastruktury LAN, budowanej w oparciu o IEEE 802, do uwierzytelniania i autoryzacji urządzeń podłączanych do portów posiadających charakter połączenia punkt-punkt. Funkcjonalność ta zapobiega również dostępowi do portu w przypadku gdy uwierzytelnianie lub autoryzacja nie powiedzie się. W tym kontekście port jest pojedynczym punktem dostępu do infrastruktury LAN. Przykładami tak rozumianych portów są porty brzegowe przełączników Ethernet lub punkty dostępowe sieci bezprzewodowych takich jak 802.11 (WiFi), 802.16 (WiMAX) i innych.

Do pomyślnego wdrożenia uwierzytelniania 802.1x musimy posiadać:

• Serwer RADIUS - serwer uwierzytelniający
• Urządzenie dostępowe - NAS, klient RADIUS
• Suplikant - klient dostępowy

Serwer RADIUS

Serwer RADIUS (Remote Access Dial In User Service) został opracowany przez Livingston Enterprises Inc. w 1991 r jako protokół serwera uwierzytelniania i zliczania (ang. accounting), a później włączony do standardów Internet Engineering Task Force (IETF). RADIUS jest prostym protokołem klient-serwer zapewniającym AAA (Authentication, Authorization i Accounting) dla komputerów łączących się do sieci i autoryzowanych do zasobów. Ze względu na powszechność stosowania oraz szerokie wsparcie producentów RADIUS jest często wykorzystywany do zarządzania dostępem do Internetu, sieci przewodowych i bezprzewodowych.

Przykładowe implementacje serwera RADIUS to FreeRADIUS, MS Internet Authentication Service (IAS) w 2003 Server, MS Network Policy Server (NPS) w 2008 Server, GNU RADIUS. Ze względu na bogactwo funkcji oraz zgodność z najnowszymi rozszerzeniami RADIUS zalecane jest stosowanie serwera FreeRADIUS lub rozwiązań Microsoft. Jeżeli użytkownikowi zależy na łatwym budowaniu polityk dostępu to najlepszym rozwiązaniem jest wykorzystanie serwerów Microsoft.

NAS

Jako urządzenie wymuszające kontrole dostępu do sieci występują przełączniki Ethernet i kontrolery sieci bezprzewodowych. Wsparcie 802.1x w profesjonalnych urządzeniach sieciowych, poza samym uwierzytelnianiem pozwala na dynamiczna konfigurację parametrów portu. Najpowszechniej wykorzystywaną funkcja jest konfiguracja przynależności portu do odpowiedniej sieci VLAN oparta na tożsamości użytkownika. Ponadto możliwe jest przypisywanie użytkownikom profili zawierających definicje filtrów ACL, klasyfikację QoS, konfiguracje dotyczącą kształtowania ruchu itp. NAS jest również odpowiedzialny za wysyłanie komunikatów accounting do serwera RADIUS. Komunikaty te przekazują do bazy danych RADIUS informacje o czasie rozpoczęcia i końcu dostępu klienta oraz, okresowo, ilość danych wysłanych i odebranych przez klienta.

Suplikant

Suplikant jest częścią oprogramowania systemowego umożliwiającego komunikację z serwerem RADIUS, na kliencie pragnącym uzyskać dostęp do sieci. Własnie suplikant jest odpowiedzialny za komunikację z serwerem, obsługę komunikatów RADIUS i interpretację przesyłanych atrybutów. Suplikant musi używać metod uwierzytelniania wspieranych przez serwer RADIUS oraz zrozumiałych dla NAS.

c.d.n.