čt17102019

Poslední aktualizace07.10.2019 (11:27)

Back Jste zde: Úvod IT Software Zavedení architektury AAA na bázi 802.1x

Zavedení architektury AAA na bázi 802.1x

Řízením přístupu k síti lze v aktivních prvcích přesně specifikovat skupinu zařízení či uživatelů, kteří se mohou přes aktivní prvek připojit. Ostatní zařízení/uživatelé potom nebudou do sítě vpuštěni na základě dočasného či trvalého zablokování fyzického portu, přes který se pokoušeli neoprávněně do sítě připojit. V praxi to například znamená, že do počítačové sítě se nedostane ani neautorizovaný uživatel, ale ani autorizovaný uživatel z neautorizovaného počítače nebo jiného zařízení.

Základem řešení je instalace dvou centrálních autentizačních serverů RADIUS (Cisco 1120) spolu s nasazením přístupového protokolu IEEE802.1X na síťových přepínačích stávající síťové infrastruktury zákazníka.

  • 802.1x je obecným standardem, z čehož vyplývá široká podpora výrobců.
  • Certifikační autorita je použita na platformě Linux.
  • Certifikát je uložen na PC. Non-PC zařízení se autorizují podle adresy MAC.

 

Bezpečnostní architektura AAA

Architektura AAA (Authentication, Authorization, Accounting) poskytuje rozšířené zabezpečení síťové infrastruktury. Její základ tvoří služby sloužící nejen k autentizaci uživatele (zařízení), ale poskytuje i mechanismy přidělování přístupových práv ke zdrojům a prostředky k účtování využívání těchto zdrojů.
Architektura AAA definuje tři nezávislé bezpečnostní služby:

 

  • Autentizace – poskytuje metody identifikace uživatele a kontrolu oprávněnosti jeho přístupu k síťovým službám. V případě pozitivní autentizace dojde k povolení přístupu k oprávněným službám.
  • Autorizace – na základě autorizace uživatele definuje přístup k síťovým zdrojům.
  • Accounting – poskytuje prostředky pro měření a zaznamenávání (protokolování) využívání zdrojů uživatelem.

 

Protokol IEEE802.1x

Standard IEEE 802.1x definuje protokol pro řízení síťového přístupu na linkové vrstvě jako součást bezpečnostní architektury AAA. Je založen na protokolu Extensible Authentication Protocol (EAP, RFC 2284), původně vyvinutého pro PPP LCP (Point-to-Point Protocol Link Control Protocol), respektive na jeho modifikaci vzniklou zabalením EAP paketů do ethernetových rámců - EAPOL (Extensible Authentication Protocol over LANs). Protokol EAP nabízí rozšiřitelný autentizační mechanismus, který umožňuje implementovat různé druhy autentizace (EAP-TLS, EAP-TTLS, EAP-MD5, EAP-OTP, PEAP,...).
V procesu ověřování vystupují tři typy zařízení:
1. Supplicant – uživatel nebo klient, který chce být ověřen.
2. Authentication server – ověřovací server, typicky server RADIUS, TACACS.
3. Authenticator – zařízení mezi klientem a ověřovacím serverem, typicky přepínač, Access Point.

Schéma datových toků při autentizaci protokolem IEEE802.1X:


Komunikace mezi autentikátorem a autentikačním serverem probíhá až na aplikační vrstvě. Toto umožňuje využití služeb nižších vrstev modelu OSI jako například směrování nebo šifrování. Hlavním úkolem použitých protokolů je přenášet autentikační informace od klienta až k serveru AAA. Pracují tak jako tunelovací protokoly zapouzdřující autentizační protokol. Mezi nejpoužívanější protokoly patří RADIUS a TACACS+.


Protokol RADIUS

RADIUS (Remote Authentication Dial In User Service) je specifikován v RFC 2865. Proti protokolu TACACS+ používá pro přenos dat nepotvrzovaný protokol UDP. Přináší tím jednodušší implementaci. Podporuje jen jednosměrnou autentizaci přístupového a bezpečnostního serveru protokolem CHAP a sdíleným klíčem šifruje v paketu jen přenášené heslo. Základem je klasické schéma žádost – odpověď. Iniciátorem je vždy přístupový server. Na přenos autentizačního protokolu využívá specifické atributy, které jsou součástí každého paketu.

 

Přínosy řešení
Zvolená implementace protokolu 802.1x je z uživatelského pohledu zcela transparentní, po celou dobu testování nebyl zaznamenán ani problém v dostupnosti síťových zdrojů, ani nekompatibilita s provozovanými aplikacemi.
Systém 802.1x je připraven na implementaci pro libovolnou množinu uživatelů informačního systému zákazníka.
Rizika spojená s nasazením systému jsou nulová, neboť systém je nakonfigurován tak, že v případě problémů s autentizaci je možné vypnutím všech serverů RADIUS zajistit otevření portů na přístupových přepínačích a infrastrukturu lze potom používat stejným způsobem jako před nasazením systému 802.1x.

 

YOUR SYSTEM, spol. s r.o. 
Türkova 2319/5b (Prague Gate)
149 00 Praha 4 - Chodov

 

IČO: 00174939
DIČ: CZ00174939
www.ys.cz