Środowisko IEEE 802.1X określa się za pomocą trzech elementów:



Podobne dokumenty
Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Metody uwierzytelniania klientów WLAN

Eduroam - swobodny dostęp do Internetu

Zdalne logowanie do serwerów

Uwierzytelnianie jako element procesu projektowania bezpieczeństwa

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Bezpieczeństwo w

Tworzenie połączeń VPN.

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

WLAN bezpieczne sieci radiowe 01

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

ZiMSK. Konsola, TELNET, SSH 1

Uwierzytelnianie w sieci x Zabezpieczenie krawędzi sieci - dokument techniczny

Serwery autentykacji w sieciach komputerowych

Instrukcja podłączania komputerów z systemem Microsoft Windows Vista/7 do sieci eduroam

Usuwanie ustawień sieci eduroam

Konfiguracja serwera FreeRADIUS

Marcin Szeliga Sieć

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

Windows Server Serwer RADIUS

Laboratorium Ericsson HIS NAE SR-16

SMB protokół udostępniania plików i drukarek

Sieci wirtualne VLAN cz. I

Konfiguracja WDS na module SCALANCE W Wstęp

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

Instrukcja podłączania komputerów z systemem Microsoft Windows 8 do sieci eduroam

Bezpieczeństwo bezprzewodowych sieci LAN

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Protokoły zdalnego logowania Telnet i SSH

Windows Server Ochrona dostępu do sieci z wykorzystaniem 802.1X

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Instrukcja logowania do sieci eduroam dla studentów

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

ZyXEL NBG-415N. Bezprzewodowy router szerokopasmowy n. Skrócona instrukcja obsługi. Wersja /2006 Edycja 1

SSL (Secure Socket Layer)

Metody zabezpieczania transmisji w sieci Ethernet

Praca w sieci z serwerem

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Problemy z bezpieczeństwem w sieci lokalnej

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Laboratorium Sieci Komputerowych - 2

TP-LINK 8960 Quick Install

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

Konfigurowanie rutera oraz dostępu VPN za pomocą konsoli RRAS

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

MODEL WARSTWOWY PROTOKOŁY TCP/IP

System Kancelaris. Zdalny dostęp do danych

INSTRUKCJA OBSŁUGI USTAWIEŃ DYNAMICZNIE PRZEDZIELANYCH ADRESÓW IP W URZĄDZENIACH SYSTEMU IP-PRO ORAZ REJESTRATORACH MY-DVR

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

BRINET Sp. z o. o.

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

Zadania z sieci Rozwiązanie

pasja-informatyki.pl

NXC-8160 Biznesowy kontroler sieci WLAN

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Sieci bezprzewodowe WiFi

Konfiguracja własnego routera LAN/WLAN

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

MASKI SIECIOWE W IPv4

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds.

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Instrukcja podłączania do sieci bezprzewodowej w budynkach Akademii Sztuk Pięknych im. J. Matejki w Krakowie:

Plan realizacji kursu

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Dr Józef Oleszkiewicz. Kier. Sekcji Usług Sieciowo-Serwerowych Z-ca Kier. Działu Technologii Informacyjnej

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

Sieci VPN SSL czy IPSec?

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Problemy z bezpieczeństwem w sieci lokalnej

Podłączanie się do bezprzewodowej sieci eduroam na platformie MS Windows XP w wersji Professional oraz HOME.

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Podstawy Secure Sockets Layer

12. Wirtualne sieci prywatne (VPN)

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

11. Autoryzacja użytkowników

Wykorzystanie kontrolera sieci bezprzewodowej oraz serwera RADIUS

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Przewodnik technologii ActivCard

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Konfiguracja punktu dostępowego Cisco Aironet 350

Bringing privacy back

Instrukcja konfigurowania sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows XP

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

UNIWERSYTET EKONOMICZNY WE WROCŁAWIU. Sprawozdanie. Analizator sieciowy WIRESHARK. Paweł Jarosz Grupa 20 IiE

Transkrypt:

Protokół 802.1X Hanna Kotas Mariusz Konkel Grzegorz Lech Przemysław Kuziora Protokół 802.1X jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i scentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych o różnego rodzaju rozwiązania typu Dial-up. Pozwala on serwerom dostępowym (Network Access Server NAS) na określenie czy próbujący połączyć się za ich pośrednictwem z siecią użytkownik posiada stosowne uprawnienia oraz na określenie właściwej dla danego użytkownika konfiguracji połączenia (protokół transportowy, jego parametry, adresy IP itp.). Elementy 802.1X Środowisko IEEE 802.1X określa się za pomocą trzech elementów: klienta urządzenia granicznego (przełącznika) serwera uwierzytelniającego Klient Klient to komputer próbujący uzyskać dostęp do sieci przyłączonej do urządzenia granicznego. W sieciach kablowych klientem jest komputer zaopatrzony w kartę sieciową fizycznie połączoną kablem z przełącznikiem, stanowiącym granicę intranetu.

Urządzenie graniczne Urządzeniem granicznym jest przełącznik (switch), który wymusza uwierzytelnienie klienta przed udostępnieniem portu LAN do użytku. Urządzeniem granicznym może być też Access point. W większości wypadków urządzenie graniczne nie dokonuje jednoznacznego uwierzytelnienia, a jedynie przekazuje dane klienta wraz z pozostałymi informacjami o połączeniu do serwera uwierzytelniającego. Serwer uwierzytelniający Serwer uwierzytelniający dokonuje uwierzytelnienia i autoryzacji klienta w imieniu urządzenia granicznego. W chwili otrzymania informacji o próbie połączenia, serwer dokonuje ewaluacji jego danych oraz sprawdza uprawnienia dostępu. Następnie informacja o wyniku autoryzacji jest zwracana do urządzenia granicznego, które zezwala bądź nie zezwala na dostęp do sieci (ew. kieruje klienta do podsieci wirtualnej). Pod pojęciem serwera uwierzytelniającego można rozumieć: Komponent przełącznika W tym wypadku switch musi zostać skonfigurowany do współpracy z klientami, w szczególności muszą zostać określone dane logowania i uprawnienia dostępu. Z reguły nie korzysta się z możliwości połączenia roli urządzenia granicznego i serwera uwierzytelniającego, gdyż takie zarządzanie zabezpieczeniami jest skomplikowane, a samo rozwiązanie mało skalowalne. Dedykowany komputer w sieci W tym wypadku switch przekazuje dane logowania i informacje o połączeniu do serwera uwierzytelniającego. Obecnie najpopularniejszymi rozwiązaniami są RADIUS oraz jego następca Diameter. RADIUS Obecnie najczęściej spotykany typ serwera uwierzytelniającego. W systemie korzystającym z takiego serwera poszczególne jego elementy nazywamy następująco: suplikant element urządzenia próbującego podłączyć się do sieci, który odpowiedzialny jest za współpracę z mechanizmami bezpieczeństwa systemu w celu jego uwierzytelnienia. klient RADIUS mechanizmy zawarte w urządzeniu pośredniczącym w podłączaniu się innych do sieci (np. w punkcie dostępowym czy przełączniku Ethernet). serwer RADIUS serwer uwierzytelniający. Scentralizowane zarządzanie dostępem początkowo było stosowane do autoryzacji użytkowników korzystających z modemów do "wdzwaniania" się do serwera. Idea okazała się na tyle uniwersalna, że powstała usługa umożliwiająca uwierzytelnianie, autoryzację oraz rejestrację dostępu do zasobów ( AAA - Authencication, Authorization, Accounting ). RADIUS ( Remote Authentication Dial In User Service ) to protokół umożliwiający realizację AAA, przez przesyłanie wiadomości między serwerem RADIUS, a NAS ( Network Access Server ).

Serwer Radius zawiera bazę danych z informacjami o autoryzowanych użytkownikach i rejestruje dostęp do zasobów. NAS to komputer lub inne urządzenie umożliwiające dostęp do zasobów. W przypadku próby dostępu do zasobu, NAS wysyła zapytanie ( zawierające nazwę użytkownika i hasło ) do serwera RADIUS. Serwer uwierzytelnia źródło wiadomości ( na podstawie wspólnego klucza ) i sprawdza uprawnienia użytkownika. Następnie odsyła komunikat potwierdzający lub odrzucający prawo dostępu do zasobu. Możliwe jest także żądanie przesłania dodatkowych informacji przez klienta. Bezpieczeństwo IEEE 802.1X IEEE 802.1X wymusza stosowanie uwierzytelniania EAP klientów lub jawną autoryzację poprzez serwer RADIUS. Wszystko to dzieje się zanim klient będzie mógł otrzymać dostęp do reszty sieci. Komputery mogą zatem fizycznie podłączyć się do portu i wysyłać ramki do urządzenia, lecz nie mogą wysyłać ani odbierać ramek do hostów w intranecie. 802.1X nie obsługuje jednak zabezpieczeń w postaci szyfrowania ramek po pomyślnym uwierzytelnieniu i autoryzacji. Ponadto urządzenie graniczne nie jest w stanie zweryfikować tożsamości klienta w takim sensie, że niemożliwe jest upewnienie się, iż ramki zostały faktycznie wysłane z hosta przechodzącego przez proces uwierzytelnienia. EAP EAP pierwotnie został stworzony jako rozszerzenie PPP, które pozwalało na rozwój niezależnych metod uwierzytelniania. W typowych protokołach PPP, konkretny mechanizm uwierzytelniania jest wybierany podczas fazy ustanawiania połączenia. W fazie uwierzytelniania protokół ten jest następnie wykorzystywany poprzez wysyłkę odpowiednich komunikatów w ustalonym porządku. W przypadku protokołu EAP konkretny mechanizm uwierzytelniania nie jest wybierany podczas fazy ustanawiania połączenia. Zamiast tego każdy klient PPP zgadza się na przeprowadzenie EAP podczas fazy uwierzytelniania. Gdy do niej dojdzie, klienci uzgadniają wykorzystanie konkretnego schematu uwierzytelniania, inaczej typ EAP. Po zakończeniu negocjacji, EAP umożliwia wymianę komunikatów pomiędzy klientem a serwerem uwierzytelnienia (serwerem RADIUS). Szczegóły tej konwersacji zależą od typu EAP. EAP może być wykorzystywany z innymi schematami uwierzytelnienia w celu zapewnienia różnych poziomów zabezpieczeń, takich jak Generic Token Card, One Time Password (OTP), MD5-Challenge, Transport Layer Security (TLS) dla wsparcia kart inteligentnych i certyfikatów. EAP jest krytycznym komponentem technologicznym wspomagającym zabezpieczanie połączeń. Dodatkowo w ramach PPP, standard IEEE 802.1X definiuje sposób, w jaki EAP jest wykorzystywany przez urządzenia IEEE 802, takie jak przełączniki sieciowe i punkty dostępu bezprzewodowego IEEE 802.11.IEEE 802.1X różni się od PPP tak, że tylko metody uwierzytelniania oparte na EAP są obsługiwane.

Kod jest polem jednobajtowym i identyfikuje typ pakietu EAP. Kod 1 oznacza ramkę Request, 2 Response, 3 Success, natomiast 4 Failure. Kolejnym, również jednobajtowym, jest identyfikator, który służy do dopasowania odpowiedzi do żądania. Pole długości ma dwa bajty i określa rozmiar pakietu w bajtach. Pole danych może mieć 0 lub więcej bajtów. Format danych zależy od pola kodu. Komunikacja w protokole EAP jest wymianą pakietów Request/Response, aż do momentu odebrania pakietu Success lub Failure. Protokół EAP przenoszony z użyciem protokołu 802.1X nazywany jest często EAP over LAN (EAPoL), jako że jego komunikaty przenoszone są bezpośrednio przez warstwę drugą sieci bez użycia dodatkowych protokołów sieciowych (warstwa trzecia) czy transportowych (warstwa czwarta), takich jak IP, UDP czy TCP. Należy pamiętać, że 802.1X, a zatem i EAPoL, stosowany jest pomiędzy suplikantem, a urządzeniem granicznym. Komunikacja pomiędzy urządzeniem granicznym a serwerem uwierzytelniania odbywa się już z pomocą protokołu RADIUS (a w przypadku stosowania protokołu EAP EAP over RADIUS), opartego na protokole UDP. Metody zabezpieczeń 802.1X 1. metody z tunelowaniem - główną zaletą tunelów jest to, że realizują ochronę tożsamości. Używanie tunelów i metod tunelowych pozwala na ukrycie tożsamości klienta. Ze względu na to, że w pierwszej fazie jest zestawiany tunel a dopiero w drugiej następuje faktyczne uwierzytelnianie, metody te są tak samo bezpieczne jak TLS. EAP-TTLS uwierzytelnienie użytkownika odbywa się poprzez użycie tunelu TLS, tak aby dane połączenia takie jak login lub hasło były niewidoczne w kanale komunikacyjnym. Te silne zabezpieczenia chronią przed atakami typu słownikowego i men-in-the-middle, oraz przed przechwyceniem połączenia. Umożliwia łatwe wdrożenie do istniejącej infrastruktury zabezpieczeń poprzez wsparcie dla dużej ilości protokołów haseł (PAP, CHAP, MS-CHAP, MS-CHAP-V2, EAP-MD5Chalenge i EAP-TokenCard). Wymaga certyfikatów jedynie po stronie serwerów RADIUS. EAP-PEAP bardzo podobny do EAP-TTLS, zapewniający podobnie wysoki poziom bezpieczeństwa. Jednak w EAP-PEAP jedynie protokół EAP może znajdować się wewnątrz tunelu. Z tego powodu EAP-PEAP nadaje się do użycia z Windows Active Directory i domenami Windows (poprzez EAP-MS-CHAP-V2).

2. metody z kluczem publicznym - do zaszyfrowania wiadomości używany jest klucz publiczny natomiast do jego odszyfrowania służy wyłącznie klucz prywatny. By dowieść o prawidłowości klienckiego klucza publicznego, serwer uwierzytelniający musi zestawić zaufane połączenie w oparciu o autoryzowane certyfikaty CA. EAP-TLS następca SSL. Zapewnia podobny poziom bezpieczeństwa jak EAP-TTLS. Opiera się na zastosowaniu certyfikatów po stronie klienta w celu uwierzytelnienia użytkownika WLAN. Z tego powodu najbardziej nadaje się do zastosowania w przedsiębiorstwach, które wdrożyły lub dołączyły do infrastruktury PKI (Public Key Infrastructure). Dla innych wdrożenie certyfikatów po stronie klienta może okazać się zbyt kłopotliwe. 3. metody z kluczem symetrycznym - klient i serwer uwierzytelniający zestawiają pomiędzy sobą zaufane połączenie poprzez udowodnienie znajomości sekretnego klucza przez jedną i drugą stronę. Metody z kluczem symetrycznym mają tą zaletę, że nie wymagają dużej złożoności obliczeniowej. Natomiast wadą jest to, że większość użytkowników wybiera słabe hasła a przez to metoda ta jest podatna na ataki słownikowe. LEAP metoda najczęściej stosowana wśród użytkowników WLAN podłączanych do punktu dostępowego Cisco, na przykład Cisco Airnet Series. Nie wspiera tak silnych zabezpieczeń jak TTLS czy PEAP. Hasła, które są niewystarczająco długie i skomplikowane, są podatne na ataki słownikowe. EAP-MD5 metoda uwierzytelniania bardzo podobna do CHAP (Challenge Handshake Authentication). Ochrona przebiega za pomocą statycznych haseł, jest to dość prosta i podatna na ataki metoda zabezpieczająca.

EAP over RADIUS EAP over RADIUS nie jest typem EAP, ale metodą przekazywania komunikatów EAP przez jakiekolwiek urządzenie graniczne EAP do serwera RADIUS. Jakikolwiek komunikat wysyłany w ten sposób jest sformatowany według reguł EAP-Message RADIUS. Przetwarzanie takich informacji nastepuje na serwerze RADIUS i kliencie, a nie w urządzeniu granicznym. EAP over RADIUS jest używany w środowiskach, gdzie wykorzystuje się RADIUS do uwierzytelniania i autoryzacji. Przewagą stosowania serwera RADIUS jest to, że typy EAP nie muszą być zainstalowane na urządzeniu granicznym, a jedynie na serwerze. Niemniej jednak, samo urządzenie graniczne wciąż musi obsługiwać EAPOL.

Standardowo gdy stosuje się EAP over RADIUS, urządzenie graniczne jest konfigurowane do wykorzystywania EAP i użytku serwera RADIUS w celu uwierzytelnienia i autoryzacji. W chwili wystąpienia próby połączenia, klient uzgadnia wykorzystanie EAP z urządzeniem granicznym. Gdy klient wyśle komunikat EAP do urządzenia granicznego poprzez EAPOL, urządzenie to enkapsuluje informację przy użyciu atrybutu EAP-Message/RADIUS Access- Challenge i przekazuje ją do klienta, także przy pomocy EAPOL. Pytania: 1. IEEE 802.1X jest standardem kontroli dostępu do sieci 2. Które elementy tworzą środowisko IEEE 802.1X? 3. Urządzeniem granicznym jest 4. Przy próbie podłączenia się klienta do sieci 5. Protokół 802.1X 6. Protokoły szyfrowania w 802.1X.. 7.Ramka EAP 8. Środowisko IEEE 802.1X. 9. Protokół 802.1X stosowany jest pomiędzy 10. Metody zabezpieczeń 802.1X. 11. RADIUS służy do 12. EAP jest 13. EAP over RADIUS 14. Serwer uwierzytelniający. 15. Urządzenie graniczne.