IEEE 802.1X

Z Wikipedie, otevřené encyklopedie

IEEE 802.1X je v informatice protokol, který umožňuje jednoduché a efektivní zabezpečení fyzického přístupu do počítačové sítě. Pokud je do síťového portu (např. switche) připojeno nové zařízení, je port zablokován dokud nejsou poskytnuty autentizační údaje (např. uživatelské jméno a heslo).

802.1X je dostupné na některých zařízeních typu switch, který může být nakonfigurován k autentizaci těch zařízení, které jsou vybaveny takzvaným prosebníkem (supplicant), tedy softwarem snažícím se autentizovat. Zakazuje neautorizovaný přístup k síti na datové vrstvě.

Obsah 1 Proč vlastně 802.1X používáme? 2 Jak to funguje? 3 Výhody a nevýhody 4 Implementace 5 Externí odkazy

[editovat] Proč vlastně 802.1X používáme?

Protože v minulosti měli k počítačům přístup pouze zodpovědné a specielně vyškolené osoby, nebyla bezpečnost počítačových sítí prioritou. Situace se bohužel změnila s pronikáním počítačů mezi nedůvěryhodnou veřejnost. Dodatečně se tedy musely do firemních a jiných, důležitých, sítí zavést různé autentizační mechanizmy, šifrovaný přenos dat po síti a řízení přístupu k síti. Řízením přístupu k síti se zabývá standard 802.1X, který se vztahuje ne jen na drátové sítě, ale také na Wi-Fi.

Řízení přístupu k síti je důležité hlavně v případech, kdy nemáme pod kontrolou všechny přípojky k dané síti. Zabraňuje tak neautorizovaným osobám v přístupu, aniž bychom museli kontrolovat všechna připojená zařízení. Toto platí hlavně v bezdrátových sítích, kde je fyzické zabezpečení v podstatě nemožné. Řízení přístupu umožní přístup k síti pouze důvěryhodným a známým osobám a nikoliv těm, kteří by se chtěli připojit za účelem zneužití sítě. Nezabezpečená síť totiž umožňuje komukoliv snadné připojení a následné zneužívání datového připojení, odposlouchávání uživatelů popřípadě vydávání se za někoho jiného.

Při postupném zavádění počítačových bezdrátových sítí se začal standard 802.1X stále víc prosazovat, protože zde bylo mnohem těžší ohlídat a zabezpečit připojená zařízení. Původně byl sice určen pro drátové sítě a switche, ale lepší uplatnění našel zde. Postupem času se situace výrazně zlepšila a nyní je možné využívat tento standard v praxi.

[editovat] Jak to funguje?

Pokud se uživatel připojí na síťový port, má blokovanou veškerou komunikaci kromě EAP protokolu, který zajišťuje autentizaci. Ta proběhne takto:

1. U klienta musí běžet speciální program „suplikant“, který vyšle přes EAP protokol žádost o autentizaci na AP server.
2. AP přepošle žádost RADIUS serveru
3. Proběhne ověření uživatele
   • Pokud je uživatel lokální, proběhne jeho ověření přímo na RADIUS serveru
   • Pokud uživatel lokální není, proběhne žádost o autentizaci přes strukturu RADIUS serverů až k uživatelově domovské síti.
4. O výsledku je informováno AP, které přikáže přepínači (switchi) buď provoz na daném portu povolit a nebo zakázat.

Jako reakci na některé zranitelnosti protokolu WEP, nasazují někteří výrobci 802.1X pro bezdrátové přístupové body. Autentizaci obvykle provádí třetí strana, například RADIUS server. Systém 802.1X samozřejmě přináší řadu výhod i nevýhod.

[editovat] Výhody a nevýhody

Výhody:

• blokování neautorizovaných osob v síti nebo osob, které mají z určitých důvodů přístup k síti zakázaný (šíření virů, spam…).
• v kombinaci s různými dalšími technologiemi je možné umístit nežádoucí uživatele do tzv. VLAN, což je vlastně pořád ta samá síť, ale s výrazným karanténním omezením. Uživatel může využívat minimum síťových zdrojů, ale stále má přístup k nástrojům na případně odvirování počítače.

Nevýhody:

• Počítač, který je připojený na neautorizovaný port nemá k síti přístup. To je velká nevýhoda pro vzdálenou správu počítače i když existují metody, jak se tomuto opatření vyhnout.

Je nutné poznamenat, že 802.1X kromě řízení přístupu k portům počítačové sítě nenabízí žádné další zabezpečení. Pokud se tedy útočník dostane přes tuto ochranu do sítě, která již není jinak chráněná, není jeho pohyb v síti již nijak omezován.

[editovat] Implementace

Windows XP i Windows Vista podporuje 802.1X pro všechna síťová připojení. Windows 2000 podporuje 802.1X až s posledním service packem. Pro ostatní verze, které nepodporují 802.1X v zakladní verzi (i pro některé handheldy), lze použít programy třetích stran, například SecureW2 802.1X client od Juniperu.

Pro Linux vytvořil projekt Open1X open source klienta, Xsupplicant. Obecnější wpa supplicant může být použit nejen pro drátové, ale také pro bezdrátové připojení IEEE 802.11.

Mac OS X nabízí podporu pro 802.1X od verze 10.3.

[editovat] Externí odkazy

• IEEE stránka o 802.1X – anglicky
• IEEE standard IEEE 802 program: [1] – anglicky
• Úvod do 802.1X pro bezdrátové sítě – anglicky
• wpa_supplicant - anglicky
• stránky projektu Open1X - anglicky
• konfigurace RADIUS serveru pro bezpečnou bedrátovou síť za použití 802.1x - anglicky
• Jak si podepsat RADIUS pro beypečné použití s 802.1x PEAP nebo EAP-TTLS autentifikací - anglicky
• Konfigurace FreeRADIUS - anglicky
• WIRE1x - anglicky
• Použití IEEE 802.1X v prostředí drátových sití Microsoft Windows - anglicky