Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

На страже границ БЛВС

Корнелл У. Робинсон

Простой, но очень важный протокол 802.1X сначала был разработан для проводных сетей, а затем распространен и на беспроводные. Он управляет доступом к сети, требуя предъявления надлежащей аутентифицирующей информации — мандата пользователя. Полнофункциональная архитектура 802.1X не допускает несанкционированного доступа (НСД), блокируя связь для нелегитимных пользователей. Устройство конечного пользователя может передавать или принимать сетевой график только после аутентификации. Данный протокол способен также ограничивать права пользователей, разрешая доступ только к отдельным виртуальным ЛВС (ВЛВС) и “помещая в карантин” тех из них, чьи устройства “не сумели” пройти контроль на информационную безопасность.

Протокол 802.1X не нов. Почему же он имеет такое большое значение при применении в современных сетях? Его полномасштабная реализация — как в проводных, так и в беспроводных инфраструктурах — целесообразна по двум причинам. Во-первых, он задействует функцию обеспечения безопасности корпоративной сети посредством механизма уровней доступа, а во-вторых, поддерживает функции приложений в части контроля целостности устройств, имеющихся у конечных пользователей.

Разумеется, протокол 802.1X — это только один из элементов системы корпоративной безопасности. Другими ее опциями, которые необходимо при этом рассматривать, являются надежная многофакторная аутентификация и глубокая эшелонированная защита. Но гибкость данного протокола и простота реализации им надежных механизмов контроля и предотвращения НСД на периферии сети дают возможность любой организации использовать его.

Устройства безопасности, поддерживающие протокол 802.1X, функционируют не в одиночку. Задействуя его для принятия информационно обоснованных решений в отношении предоставления доступа к сети, они (например, коммутаторы, беспроводные точки доступа) обмениваются информацией с клиентскими устройствами и базовой инфраструктурой аутентификации для проверки действительности мандатов и исполнения других функций, требующих интенсивной обработки данных.

Виртуальный карантин

Когда протокол 802.1X впервые внедрялся в проводных сетях, для управления доступом и назначения ВЛВС использовались MAC-адреса клиентских устройств. Сейчас для установления необходимого уровня доступа служат мандаты — имена и пароли, сертификаты PKI (Public Key Infrastructure), идентификаторы RSA SecureID — и параметры конфигурации устройств конечных пользователей. Пользователей можно отнести к разным категориям, которые ограничивают их права доступа к ресурсам сети исходя из уровней доверительности мандатов, предъявляемых их устройствами, и состояний последних.

Кроме того, протокол 802.1X можно применять для помещения пользователей в карантин или в конкретную ВЛВС на основании мандата, имеющегося у конкретного пользователя, и состояния его клиентского устройства. Для этого протокол 802.1X задействует EAP-сообщения (Extensible Authentication Protocol) сервера аутентификации. Если устройство пользователя имеет устаревшее антивирусное и противошпионское ПО или не имеет его вообще, то его можно поместить в карантинную ВЛВС, которая должна быть сконфигурирована так, чтобы данному клиенту с целью выполнения требований безопасности разрешалась только загрузка новых версий и “заплат” ПО.

Поместить в карантинную ВЛВС можно любого клиента в момент, когда он пытается подключиться к сети. Благодаря этому предотвращается проникновение в сеть потенциальных разносчиков “червей” и вирусов. То же самое реализуется и такими средствами, как DHCP (Dynamic Host Configuration Protocol) или VPN (Virtual Private Network), но протокол 802.1X позволяет наиболее эффективно организовать отложенный доступ к сети “незаконопослушных” клиентских устройств, добиваясь полного контроля за назначением ВЛВС.

Как все это работает

Протоколом 802.1X предусмотрено наличие трех системных компонентов: клиентского запросчика, аутентификатора и сервера аутентификации. Программное обеспечение запросчика находится в клиентском устройстве. Запросчики пытаются войти в сеть через проводную или беспроводную точку доступа либо коммутатор, которые играют роль аутентификаторов. Аутентификатор получает мандаты (по правилам 802.1X) и, как посредник, транслирует их серверу аутентификации. Последний дает аутентификатору положительный или отрицательный ответ. Аутентификатор транслирует его запросчику, разрешая или блокируя ему доступ к сети.

Запросчик инициирует обмен информацией с аутентификатором, уведомляя его о том, что поддерживает протокол 802.1X. Аутентификатор распознает готовность запросчика к передаче мандата и устанавливает связь с сервером аутентификации, пользуясь для этого протоколом RADIUS. (Хотя альтернативы протоколу RADIUS и имеются, тем не менее именно он все быстрее становится общепринятым средством серверной аутентификации).

Мандат запросчика инкапсулируется аутентификатором для передачи серверу аутентификации. До прохождения аутентификации устройство конечного пользователя ограничено только трафиком, относящимся исключительно к ней. RADIUS-сервер ведет учет информации о легитимных пользователях и компьютерах, выполняя аутентификацию запросчиков с помощью какого-либо из числа пригодных для этого протоколов, из которых самым распространенным является EAP.

Этот транспортный протокол поддерживает разнообразные одно- и двухфакторные механизмы аутентификации.

Сервер аутентификации может использовать MAC-адреса и/или мандаты пользователей для проверки прав запросчиков. Часто он не хранит у себя мандат пользователя. RADIUS-сервер функционирует как центральный пункт аутентификации и для сравнения представленного мандата с информацией от внешних источников может использовать какой-либо опосредованный метод аутентификации — например, сервер домена Microsoft, службу Active Directory, NDS или центр сертификации PKI. Такой подход упрощает задачу сопровождения системы, поскольку имеющиеся БД аутентификации, каталоги и центры сертификации можно поддерживать, не копируя и не сохраняя мандаты новых пользователей на RADIUS-сервере.

Сервер аутентификации может вернуть аутентификатору сообщение, разрешающее доступ к сети, или, пользуясь атрибутами опции 802.1X, дать ему указание поместить устройство конечного пользователя в карантинную ВЛВС.

Серверы, о которых идет речь, получают мандат от запросчика через посредника. Когда же необходима аутентификация на более высоком уровне, запроcчик использует для пропуска мандата через аутентификатор EAP-инкапсуляцию в рамках спецификации 802.1X. гибкий протокол EAP ориентирован на ряд методов аутентификации, включая процедуру “запрос—подтверждение”, биометрию, SecureID и PKI. Желаемый метод должен быть реализован как в ПО запросчика, так и в аутентифицирующем RADIUS-сервере.

Аутентификация в БЛВС

Благодаря тому что в проводной сети данные при их передаче не выходят за пределы кабельной структуры, соединяющей конечное устройство пользователя с ЛВС, аутентификация в ней значительно менее сложная задача, чем в беспроводной сети. В последней передача осуществляется в открытой среде и закрыть доступ к передаваемой информации в такой сети можно только путем шифрования, что усложняет задачу аутентификации.

Шифрование используется в БЛВС на первом этапе для защиты мандата, а дальше — для защиты самих передаваемых данных. Протоколы 802.1X, EAP и RADIUS в современных БЛВС объединены и стандартизированы комитетом IEEE в виде стандарта 802.11i, а также сертифицированы Альянсом Wi-Fi под названием WPA (Wi-Fi Protected Access) или WPA2 (подробное описание WPA2 см.: Сети и системы связи. 2006. № 10. С. 102).

Наиболее распространены такие методы аутентификации, которые используются для поддержки протокола 802.1X в БЛВС, — в частности, EAP-PEAP, EAP-TLS и EAP-TTLS. EAP-PEAP — это проект стандарта IETF, предложенный компаниями Microsoft и Cisco Systems и наиболее популярный из данного семейства, поскольку поддерживается в последних версиях ОС Microsoft. EAP-TTLS также проект стандарта IETF, он разработан компанией Funk Software (сейчас Juniper Networks). EAP-TLS — наиболее надежный из всех перечисленных методов, он уже стандартизирован и является обязательным для сертификации WPA2. Применяется он не так широко, как другие, поскольку требует наличия сертификатов PKI для аутентификации как клиентов, так и самого аутентифицирующего сервера.

Все три метода организации туннеля для передачи мандата используют сертификаты PKI. Методы EAP-PEAP и EAP-TTLS поддерживают сертификаты на стороне сервера аутентификации и мандаты, содержащие имя и пароль пользователя на стороне запросчика. Метод EAP-TLS, как уже говорилось, обращается к сертификатам PKI, находящимся на сервере аутентификации и у каждого запросчика.

Инфраструктура БЛВС часто конфигурируется с разбивкой на несколько беспроводных ВЛВС (БВЛВС), при этом для их объявления и поддержки задействуется единая точка доступа. Делается это с применением идентификаторов расширенных наборов услуг ESSID (Extended Service Set ID) — уникальных имен БЛВС. Точка доступа предварительно принимает обращения от потенциальных пользователей БЛВС и направляет их мандаты и информацию БВЛВС серверу аутентификации. В большинстве корпоративных БЛВС сервер дает точке доступа указание поме-стить пользователя в конкретную БВЛВС и соответствующую ей проводную ВЛВС.

Поддержка спецификации 802.1X является обязательным требованием для WPA/WPA2-сертификации беспроводных устройств как с персональным, так и с корпоративным режимом аутентификации и составной частью стандарта безопасности 802.11i. Альянс Wi-Fi в прошлом году объявил, что поддержка методов семейства EAP рассматривается в качестве обязательного требования сертификации на интероперабельность. Этим обеспечивается согласованность реализаций функции аутентификации в БЛВС, построенных на изделиях разных производителей. WPA2 очень важный элемент обеспечения интероперабельности в таких системах. Позиция Альянса Wi-Fi дает гарантию, что любое устройство, промаркированное знаком сертификации WPA2, будет успешно обмениваться аутентифицирующей информацией с инфраструктурой БЛВС. Альянс Wi-Fi сделал WPA2-сертификацию обязательным условием сертификации беспроводных устройств.

“Привязка” к месту

Продукт WiFi Watchdog компании Newbury Networks позволяет сетевым администраторам при развертывании БЛВС учитывать строительные конструкции и особенности здания, в котором она будет размещаться. Благодаря ему для разработки описания и сопровождения физической конфигурации БЛВС могут использовать серверы-локаторы, точки доступа и поэтажные планы. Когда клиентские устройства пытаются установить связь с сетью через БЛВС, их местоположение определяется сервером-локатором, который побуждает несколько соседних точек доступа измерить уровни принимаемых ими сигналов конкретного клиентского устройства. Затем он обобщает результаты измерений и на этой основе помещает клиентское устройство в ту или иную точку поэтажного плана. Администратор может накладывать на поэтажный план некоторые ограничения, связанные с политикой безопасности организации. Это позволяет серверу-локатору (вместе с сервером аутентификации) принудительно устанавливать определенные правила относительно мест на плане, откуда допускается выход на связь той или иной категории пользователей. Такая возможность позволяет администратору запрещать, например, доступ к сети с улицы или ограничивать Wi-Fi-доступ посетителей той или иной организации в определенных ее помещениях, что важно для государственных учреждений или больниц, где существует негласное требование, чтобы некоторые места в их зданиях были “мертвыми зонами” для беспроводной связи.

Дальнейшее развитие спецификации 802.1X, видимо, пойдет в направлении повышения уровня контроля над целостностью устройств. Лидерами в этой области являются: компания Cisco с ее продуктом Network Admission Control; Microsoft, которая планирует выпуск продукта Network Access Protection как части своей клиентской ОС Longhorn, и компания Trusted Computing Group с продуктом Trusted Network Connect..





  
13 '2006
СОДЕРЖАНИЕ

бизнес

• Зачем Cisco ребрэндинг

инфраструктура

• Отказы? Никогда!

• Прокладываем курс в море стандартов ИТ

• Построение дискового массива iSCSI

• Средства планирования БЛВС

• Построение и эксплуатация ЦОДов: как избежать ошибок

информационные системы

• Цифровые права на доступ к корпоративным данным

• Управление сервисами «снизу вверх» и «сверху вниз»

кабельные системы

• Оптические разъемы для высокоплотных инсталляций

• PoE Plus и UTP-проводка

защита данных

• На страже границ БЛВС

• Выберите защиту для своих данных


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх