IEEE 802.1X

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

IEEE 802.1X je v informatice název protokolu, který umožňuje zabezpečení přístupu do počítačové sítě. Pokud se klient (počítač) připojí k přípojnému bodu (UTP kabelem do síťového portu u switche, ale i k bezdrátovému přístupovému bodu u Wi-Fi), je po něm pomocí IEEE 802.1X vyžadována autentizace (např. uživatelské jméno a heslo). Přípojný bod blokuje veškerý ostatní datový provoz klienta do té doby, než je úspěšně autentizován. Pro řízení autentizace je u klienta používán suplikant („prosebník“), u přípojného bodu je vyžadována dodatečná podpora (tj. switch s managmentem).

Využití 802.1X[editovat | editovat zdroj]

Protože v minulosti měly k počítačům přístup pouze zodpovědné a speciálně vyškolené osoby, nebyla bezpečnost počítačových sítí prioritou. Situace se změnila s pronikáním počítačů mezi širokou veřejnost. 802.1X zabraňuje neautorizovaným osobám v přístupu k síťové komunikaci, aniž by bylo nutné všechna připojená zařízení fyzicky autorizovat. Uplatní se i v bezdrátových sítích, kde je fyzické zabezpečení v podstatě nemožné a volné připojení by mohlo být snadno zneužito.

Princip činnosti 802.1X[editovat | editovat zdroj]

Schema 802.1X

Pokud se uživatel připojí na síťový port, má blokovanou veškerou komunikaci kromě EAP protokolu, který zajišťuje autentizaci. Ta proběhne takto:

  1. klient se připojí k přípojnému bodu
  2. přípojný bod akceptuje pouze autentizační EAP rámce
    • ostatní (datový) provoz od klienta je blokován
  3. klient odešle autentizační informace pomocí EAP protokolu
    • autentizaci řídí u klienta speciální nástroj, tzv. suplikant („prosebník“)
  4. přípojný bod přepošle žádost RADIUS serveru
  5. na RADIUS serveru proběhne ověření uživatele
    • pokud je uživatel lokální, proběhne jeho ověření přímo na RADIUS serveru
    • pokud uživatel lokální není, proběhne žádost o autentizaci přes strukturu RADIUS serverů až k uživatelově domovské síti
  6. o výsledku autentizace je informován přípojný bod, který v případě úspěchu odblokuje klientovi datový provoz

Výhody a nevýhody[editovat | editovat zdroj]

Výhody:

  • blokování neautorizovaných osob v síti nebo osob, které mají z určitých důvodů přístup k síti zakázaný (šíření virů, spam…).
  • v kombinaci s různými dalšími technologiemi je možné umístit nežádoucí uživatele do tzv. VLAN, což je vlastně pořád ta samá síť, ale s výrazným karanténním omezením. Uživatel může využívat minimum síťových zdrojů, ale stále má přístup k nástrojům na případné odvirování počítače.

Nevýhody:

  • Počítač, který je připojený na neautorizovaný port nemá k síti přístup. To je velká nevýhoda pro vzdálenou správu počítače i když existují metody, jak se tomuto opatření vyhnout.

Je nutné poznamenat, že 802.1X kromě řízení přístupu k portům počítačové sítě nenabízí žádné další zabezpečení. Pokud se tedy útočník dostane přes tuto ochranu do sítě, která již není jinak chráněná, není jeho pohyb v síti již nijak omezován.

Implementace[editovat | editovat zdroj]

Windows XP i Windows Vista podporuje 802.1X pro všechna síťová připojení. Windows 2000 podporuje 802.1X až s posledním service packem. Pro ostatní verze, které nepodporují 802.1X v základní verzi (i pro některé handheldy), lze použít programy třetích stran, například SecureW2 802.1X client od Juniperu.

Pro Linux vytvořil projekt Open1X open source klienta, Xsupplicant. Obecnější wpa_supplicant může být použit nejen pro drátové, ale také pro bezdrátové připojení IEEE 802.11.

Mac OS X nabízí podporu pro 802.1X od verze 10.3.

Externí odkazy[editovat | editovat zdroj]