Протокол IEEE 802.1х
Протокол IEEE 802.1х является механизмом безопасности, обеспечивающим аутентификацию и авторизацию пользователей и тем самым ограничивающим доступ проводных или беспроводных устройств к покальной сети. Работа протокола базируется на клиентсерверной модели контроля доступа (рисунок 49). В качестве сервера аутентификации используется RADIUS-сервер. При этом весь процесс аутентификации пользователя производится в проводных сетях на основе протокола EAPOL (Extensible Authentication Protocol over LAN), в беспроводных - на основе протокола EAPOW (Extensible Authentication Protocol over Wireless).
Рисунок 49.
|
До тех пор, пока клиент не будет аутентифицирован, протокол IEEE 802.1х будет пропускать через сетевой порт только трафик протокола EAPOL. После успешной аутентификации обычный трафик будет пропускаться через порт. Работа протокола IEEE 802.1х основывается на трёх компонентах (рисунок 49), каждая из которых подробно рассмотрена в следующем разделе.
7.1. Роли устройств
Клиент — это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы коммутатора. На рабочей станции должно быть установлено клиентское ПО, реализующее протокол 802.1х (в ОС Microsoft Windows ХР данное ПО является встроенным).
Сервер аутентификации выполняет фактическую аутентификацию клиента, проверяя подлинность клиента и информируя коммутатор, предоставлять или нет клиенту доступ к локальной сети.
Коммутатор (также называется аутентификатор) управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Коммутатор работает как посредник между клиентом и сервером аутентификации, получая запрос на проверку подлинности от клиента, проверяя данную информацию при помощи сервера аутентификации, и пересылая ответ клиенту. ПО коммутатора включает клиента RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров ЕАР и взаимодействие с сервером аутентификации.
7.2. Процесс аутентификации
Инициировать процесс аутентификации может коммутатор или клиент. Клиент инициирует аутентификацию, посылая кадр EAPOL-start, который вынуждает коммутатор отправить ему запрос на идентификацию. Когда клиент отправляет ЕАР - ответ со своей идентификацией, коммутатор начинает играть роль посредника, передающего кадры ЕАР между клиентом и сервером аутентификации до успешной или неуспешной аутентификации. Если аутентификация завершилась успешно, порт коммутатора становится авторизован-
ным.
Рисунок 50. Временная диаграмма аутентификации клиента в сети.
|
Временная диаграмма обмена ЕАР-кадрами зависит от используемого метода аутентификации. На рисунке 50 показана схема обмена, инициируемая клиентом, использующая метод аутентификации с использованием одноразовых паролей (One Time Password, OTP) сервером RADIUS.
7.3. Состояние портов коммутатора
Состояние порта коммутатора определяется тем, получил или не получил клиент право доступа к сети. Первоначально порт находится в неавторизованном состоянии. В этом состоянии он запрещает прохождение всего входящего и исходящего трафика за исключением пакетов протокола IEEE 802.1х. Когда клиент аутентифицирован, порт переходит в авторизованное состояние, позволяя передачу любого трафика от него.
Возможны варианты, когда клиент или коммутатор не поддерживают протокол IEEE 802.1х. Если клиент, который не поддерживает протокол IEEE 802.1х, подключается к неавторизованному порту, коммутатор посылает клиенту запрос на аутентификацию. Поскольку в этом случае клиент не ответит на запрос, порт останется в неавторизованном состоянии и клиент не получит доступ к сети.
В другом случае, когда клиент с поддержкой протокола IEEE 802.1х подключается к порту, на котором не запущен протокол IEEE 802.1х, клиент начинает процесс аутентификации, посылая кадр EAPOL-start. Не получив ответа, клиент посылает запрос определённое количество раз. Если после этого ответ не получен, клиент, считая, что порт находится в авторизованном состоянии начинает посылать кадры.
В случае, когда и клиент и коммутатор поддерживают протокол IEEE 802.1х, при успешной аутентификации клиента, порт переходит в авторизованное состояние и начинает передавать все кадры клиента. Если в процессе аутентификации возникли ошибки, порт остаётся в неавторизованном состоянии, но аутентификация может быть восстановлена. Если сервер аутентификации не может быть достигнут, коммутатор может повторно передать запрос. Если от сервера не получен ответ после определённого количества попыток, то в доступе к сети будет отказано из-за ошибок аутентификации.
Когда клиент завершает сеанс работы, он посылает сообщение EAPOL-logoff, переводящее порт коммутатора в неавторизованное состоянии. Если состояние канала связи порта переходит из активного (up) в неактивное (down), то порт также возвращается в неавторизованное состояние.
7.4. Методы контроля доступа при использовании протокола IEEE 802.1х
Протокол IEEE 802.1х предоставляет два метода контроля доступа к сети:
1. На основе портов (Port-Based Access Control). При использовании данного метода достаточно, чтобы только один любой пользователь, подключенный к порту коммутатора, был авторизован. Тогда порт перейдёт в авторизованное состояние и доступ к сети получат любые пользователи, подключенному к данному порту.
2. На основе МАС-адресов (MAC-Based Access Control). При использовании данного метода при аутентификации также учитывается МАС-адрес клиента, подключенного к порту, и порт авторизуется только для клиента с конкретным МАС-адресом.
Контроль доступа на основе портов
Изначально протокол IEEE 802.1х разрабатывался с учётом того, что к порту коммутатора подключено не более одного устройства (рисунок 51). Как только устройство успешно проходило процедуру аутентификации, порт переходил в авторизованное состояние и далее пропускал весь трафик до тех пор, пока не наступало событие, которое обратно переводило его в неавторизованное состояние. Следовательно, если порт коммутатора подключен не к одному устройству, а к сегменту локальной сети, то успешная аутентификация любого устройства из этого сегмента открывает доступ в сеть всем остальным устройствам из сегмента. Естественно, это является серьёзной проблемой с точки зрения безопасности.
Рисунок 51.
|
Контроль доступа на основе МАС-адресов
Для того, чтобы успешно использовать протокол IEEE 802.1х в распределённых локальных сетях, необходимо создавать логические порты - по одному логическому порту на каждое устройство, подключенное к физическому порту. Таким образом, физический порт представляет собой множество логических портов, каждый из которых независимо контролирует отдельное устройство-клиента с точки зрения аутентификации и авторизации. Принадлежность устройства к определённому логическому порту осуществляется на основе МАС-адреса устройства (рисунок 52). Таким образом, устраняется проблема безопасности доступа множества устройств через один физический порт коммутатора.
Рисунок 52.
|
III. Технологии передачи данных в сетях TCP/IP
1. Адресация в IP-сетях
В стеке протоколов TCP/IP используется три типа адресов:
1. МАС-адрес - идентификационный номер сетевого адаптера или порта маршрутизатора, например, 00-60-17-3D-BC-01. Эти адреса назначаются производителями оборудования и являются уникальными, так как управляются централизовано. Для всех существующих технологий локальных сетей МАС-адрес имеет формат 6 байтов: старшие 3 байта - идентификатор фирмы производителя, а младшие 3 байта назначаются уникальным образом самим производителем.
2. Доменный адрес. Имеет иерархическую структуру и несет смысловую нагрузку, поскольку предназначен для удобства запоминания пользователем. Такой адрес состоит из нескольких частей, например, имени машины, имени организации, имени домена. Называется также DNS-именем. Например, www.susu.ac.ru.
3. Сетевой адрес. Для сетей, поддерживающих стек протоколов TCP/IP, это IP-адрес. IP-адрес имеет длину 4 байта и обычно записывается в виде четырех чисел, представляющих значения каждого байта в десятичной форме, и разделенных точками, например: 193.233.81.15 - традиционная десятичная форма представления адреса.
IP-адресация поддерживает двухуровневую иерархию. Адрес делится на две части - номер сети, и номер узла в этой сети. Для разделения двух частей адреса используется маска - двоичное число, которое содержит единицы в разрядах, интерпретируемых как номер сети. Например, маска 255.255.255.0 (11111111. 11111111. 11111111. 00000000) для адреса 193.66.39.214 означает, что в этом адресе первые три байта будут определять номер сети, а остальные - адрес узла. Таким образом, адрес сети - 193.66.39.0. Иногда для записи маски используют следующий формат: 193.66.39.214/24. Такая запись означает, что маска содержит 24 единицы, то есть под адрес сети отведено 24 разряда.
Существует соглашение о специальных адресах. Расшифровка особых адресов приведена в таблице 2.1.
Таблица 2.1 - Специальные IP-адреса
| Вид адреса | Пример | Назначение |
| Все нули | 0.0.0.0 | Адрес того узла, который сгенерировал пакет |
| (номер сети).(все нули) | 230.154.17.0 | Данная IP-сеть |
| (все нули).(номер узла) | 0.0.0.192 | Узел в данной IP-сети |
Продолжение таблицы 2.1
|
Для установления соответствия между MAC и IP-адресами используется протокол разрешения адреса - Address Resolution Protocol, ARP.
Таблица 2.2 - Пример ARP таблицы
|
Статические записи создаются вручную администратором, а динамические – средствами протокола ARP.