Контроль пользовательского доступа

Решение на основе 802.1х

В случае 802.1х можно применять решение с централизованным хранилищем учетных данных пользователей и уникальным пользовательским идентификатором. В качестве хранилища пользовательских данных логично выбрать Active Directory, а функции уникального идентификатора выполнит цифровой сертификат х.509.

Для реализации решения на основе цифровых сертификатов необходима соответствующая инфраструктура из удостоверяющего центра (Certificate Authority, CA; Registration Authority, RA) и носителей сертификатов (USB-ключи, смарт-карты, хранилища сертификатов в ОС).

На роль унифицированного носителя сертификата обычно выбирается USB-ключ. Таким образом, решение должно включать коммутаторы локальной сети с поддержкой 802.1х, сервер идентификации RADIUS, средства аутентификации (USB-ключи), удостоверяющий центр, контроллер домена и службу каталогов (см. Рисунок 4).

Рисунок 4.

Изначально порты на коммутаторе настраиваются так, что весь трафик, за исключением некоторых служебных протоколов и EAPOL, игнорируется, а на рабочих станциях в настройках TCP/IP указываются следующие действия: вывод значка в области уведомлений при подключении и включение проверки подлинности IEEE 802.

1x (смарт-карта или иной сертификат). Взаимодействие начинается при попадании на порт коммутатора стартового кадра EAPOL Start Frame. Это происходит при входе пользователя в операционную систему (процедура регистрации) или загрузке ОС на рабочей станции (при размещении сертификата в хранилище сертификатов).

Вот типичный сценарий (см. Рисунок 5):

Рисунок 5.

(1) Пользователь вставляет USB-ключ в порт рабочей станции. Для предоставления доступа к зашифрованному хранилищу сертификатов на данном USB-ключе опционально запрашивается пароль. При правильном вводе пароля инициируется обмен EAP-TLS.

(2) Агент на коммутаторе запрашивает у клиента на ПК его идентификационные данные и передает их по протоколу EAPOL поверх RADIUS на сервер проверки подлинности (RADIUS), который зарегистрирован в общем домене и имеет собственный цифровой сертификат.

(3) RADIUS обращается к AD как к внешней базе данных, поскольку задействуется централизованное хранение базы учетных данных пользователей. В качестве атрибутов, предназначенных для поиска пользователя в AD, подойдут следующие:

• Certificate CN Comparison на основе имени в Subject Common Name в пользовательском сертификате;
• Certificate SAN Comparison на основе имени в Subject Alternate Name в пользовательском сертификате;
• Certificate Binary Comparison на основе бинарной суммы всего сертификата.

При наличии в каталоге имени пользователя и соответствии предоставленных идентификационных атрибутов, AD пересылает серверу RADIUS результаты идентификации и дополнительную информацию о пользователе — группы, временные ограничения, права доступа и т.д (4).

(5) На сервере RADIUS предварительно настраиваются локальные группы с теми же именами, что и группы в AD с соответствующими правилами (наименование и номер VLAN, временные ограничения, списки доступа и т.д.). Группы из ответа AD сравниваются с локальными группами и при совпадении на коммутатор (в рамках открытого сеанса EAP-TLS) высылаются RADIUS AV V-Pairs для конфигурирования порта коммутатора как принадлежащего к указанной VLAN.

(6) Таким образом, рабочая станция оказывается в нужном сегменте и посылает запрос IP-адреса по протоколу DHCP. Коммутатор перехватывает этот запрос и формирует пакет BOOTP, где в качестве IP-адреса отправителя указывает SVI-адрес сегмента VLAN, из которого пришел запрос, и отправляет пакет ВООТР серверу DHCP.

Последний, на основании IP-адреса полученного пакета BOOTP, выделяет свободный IP-адрес из соответствующего пула адресов и высылает ответ, где помимо IP-адреса имеется информация о DNS, шлюзе по умолчанию, WINS и т.д. В результате рабочая станция оказывается в нужном сегменте с соответствующим IP-адресом.

Переезды сотрудников между офисами осуществляются без предварительной конфигурации пользовательских сегментов VLAN на коммутаторах. Подключаясь к сети со своим ноутбуком, либо регистрируясь на стационарной рабочей станции, пользователь идентифицируется по сертификату, размещенному на USB-ключе, и попадает в соответствующий сегмент VLAN с соответствующим IP-адресом.

При этом на сервере RADIUS осуществляется регистрация событий — кто, когда, на каком коммутаторе и в каком сегменте VLAN осуществил подключение, долго ли проработал и сколько октетов прошло через порт подключения. Для отслеживания соответствия пользователя и IP-адреса, назначаемого с помощью DHCP, необходимо задействовать технологию DHCP Snooping, доступную на коммутаторах серии Cisco Catalyst, и в настройках RADIUS Accounting активировать атрибут Framed-IP-Address AV Pair.

При подключении к сети со своего ноутбука, либо при входе на стационарную рабочую станцию пользователь филиала идентифицируется по сертификату, размещенному на USB-ключе, и попадает в соответствующий сегмент VLAN с соответствующим IP-адресом. Для реализации данной возможности коммутаторы удаленных офисов обращаются к серверу RADIUS, размещенному в центральном офисе. Назначение IP-адреса по DHCP осуществляется либо локально, либо через сервер DHCP центрального офиса.

Сценарий посменной работы операторов и кассиров мало чем отличается от вышеописанного. Используя групповые правила на контроллере домена, можно настроить тип поведения рабочей станции при удалении ключа из порта USB (блокирование рабочей станции, завершение сеанса работы).

К примеру, интересное решение получается при использовании USB-ключа с интегрированными метками RFID для контроля физического доступа к помещениям организации: сотрудник будет вынужден всегда брать с собой USB-ключ и тем самым блокировать рабочую станцию каждый раз, когда ему необходимо выйти из помещения.

При удаленном доступе пользователей к ресурсам (из гостиницы, дома) через защищенное соединение VPN в настройках клиента VPN на рабочей станции задается использование сертификата пользователя. На сервере VPN (межсетевом экране, маршрутизаторе, концентраторе VPN) предварительно устанавливается собственный цифровой сертификат и сертификат удостоверяющего центра организации.

При открытии туннеля VPN выполняется двухфакторная идентификация — сеанса ISAKMP и пользователя. Сеанс ISAKMP идентифицируется на основе цифрового сертификата пользователя. Используя поле Organization Unit (в нашем случае это SPB, MSK, OMS) в полученном сертификате сервер VPN пересылает соответствующие настройки клиенту VPN (IP-адрес, Split ACL, DNS, WINS и т.д.).

Опционально на данном этапе можно проверять список отозванных сертификатов CRL. Идентификация пользователя осуществляется по имени и паролю с помощью сервера RADIUS и AD, где размещены все учетные пользовательские данные.
Дополнительно, прибегнув к группам RADIUS, можно загрузить списки доступа ACL на сервер VPN.

Так получается масштабируемое решение по организации удаленного доступа через VPN, идентификации сотрудника, включение в соответствующую группу с определенными правами доступа к ресурсам.
Если гостевой вход в Internet предоставляется для рабочих станций специалистов, не являющихся сотрудниками организации, то возможны две ситуации: 802.

1х не настроен или принципиально не поддерживается, либо цифровой сертификат выдан чужим удостоверяющим центром. В первом случае на коммутаторах настраивается отдельный сегмент VLAN, куда пользователи направляются после нескольких неудачных попыток получения доступа. Во втором можно реализовать более комплексное решение:

• настроить список доверенных сертификатов CTL, куда включить сторонний удостоверяющий центр;
• завести группу guest и временных пользователей в AD;
• выполнить соответствующие настройки на сервере RADIUS и коммутаторах.

В обоих случаях пользователи попадают в соответствующие сегменты VLAN с ограниченными правами доступа в Internet или к корпоративным ресурсам.

Для подключения принтеров, терминалов и других устройств, не поддерживающих 802.1x, можно использовать технологию MAC Authentication Bypass. Ее принцип заключается в следующем: на основе MAC-адреса устройства создается комбинация из именя/пароль, которая отправляется коммутатором на сервер RADIUS для идентификации.

В AD учетная запись данного пользователя включается в определенную глобальную группу (VLAN). При прохождении аутентификации устройство попадает в нужный сегмент VLAN и получает по DHCP необходимые настройки (IP-адрес, адрес шлюза по умолчанию, tftp и т.д.).

Итак, решение на базе 802.1х позволяет объединить задачи по контролю физического доступа (интегрированные метки RFID), доступа к рабочей станции, к сети и информационным ресурсам. В результате его внедрения сокращаются административные затраты и появляется удобный инструмент по отслеживанию подключений пользователей. Необходимо отметить и относительную простоту развертывания решения.

Однако не следует забывать, что контроль доступа к съемным носителям и проверка программного обеспечения подключаемых устройств не поддерживаются. А ведь именно эти два фактора являются причиной возникновения большинства инцидентов (утечка информации, распространение вирусов в локальной сети и т.д.).

Решение на основе клиентского по

Решения на основе агентского ПО обычно предусматривают аутентификацию пользователя, аудит состояния программного обеспечения на рабочей станции, обновление в случае несовпадения с текущими требованиями и применение правил фильтрации к пользовательскому трафику.

Алгоритм работы агента идентичен вышеописанному алгоритму работы 802.1x, но параллельно процедуре авторизации пользователя производится аудит состояния ПО рабочей станции на соответствие корпоративным правилам (версия сервисного пакета ОС, наличие последних заплат, версия антивирусного ПО и т.д.).

Аудит осуществляется встроенными в агенте подключаемыми модулями, а результаты пересылаются на сервер идентификации RADIUS и далее на сервера аудита. При соответствии корпоративным правилам, рабочая станция допускается в локальную сеть, в противном случае — попадает в карантинную VLAN, где версии ПО обновляются.

Затем рабочая станция снова проходит аудит и допускается в сеть. Управление коммутатором осуществляется на основе RADIUS атрибутов, как и в вышеописанном решении. Таким образом, к возможности контроля различных видов доступа на основе 802.1х, добавляется контроль состояния подключаемых с сети рабочих станций.

Рисунок 6.

Архитектура решения без поддержки 802.1х инфраструктуры основывается на взаимодействии клиент-сервер, где в качестве протокола используется стандартный стек TCP IР. Решение включает следующие компоненты (см. Рисунок 6):

• сервер управления для авторизации пользователя, управления серверами доступа и коммутаторами;
• серверы доступа — они служат посредниками при обслуживании запросов агентского ПО и осуществляют сетевое сканирование рабочих станций (поиск открытых портов, анализ на уязвимость и т.д.), управление групповыми правилами (ролями) и обработку пользовательского трафика;
• клиентское ПО — выполняет сканирование реестра рабочей станции, сбор версий ОС, контроль версий антивирусного ПО, взаимодействие с сервером управления;
• антивирусный сервер;
• сервер обновлений для загрузки обновлений ПО на рабочие станции.

В зависимости от существующей инфраструктуры сети и поставленной задачи сервер доступа может размещаться как на пути следования трафика (in-band), так и вне его (out-of-band). В первом случае трафик пользователей постоянно проходит через серверы доступа.

Благодаря этому осуществляется постоянный контроль всего трафика с целью соблюдения правил доступа пользователей к сетевым ресурсам. Дополнительно возможен контроль выделяемой для каждого пользователя пропускной способности. В сетях с высокой пропускной способностью такой подход не рекомендуется.

Во втором случае трафик пользователей проходит через серверы доступа только на этапе авторизации (при идентификации, определении правил доступа и оценке состояния рабочей станции). После успешной авторизации порт коммутатора, к которому подключен данный пользователь, перенастраивается по SNMP на соответствующую VLAN, и трафик не проходит через сервер доступа.

Варианты решения различаются по месту размещения серверов управления и доступа, требуемой пропускной способности, наличия филиалов и мобильных пользователей и решаемых задач. Централизованное управление производится на сервере управления, который распространяет созданные шаблоны (правила фильтрации, пользовательские роли, стандартные конфигурации серверов доступа) на все серверы доступа.

Eap-tls

PEAP использует цифровой сертификат на AS в качестве надежного метода для аутентификации сервера RADIUS. Получить и установить сертификат на одном сервере несложно, но клиентам остается идентифицировать себя другими способами. Безопасность транспортного уровня EAP (EAP-TLS) усиливает защиту, требуя сертификаты на AS и на каждом клиентском устройстве.

С помощью EAP-TLS AS и клиент обмениваются сертификатами и могут аутентифицировать друг друга. После этого строится туннель TLS, чтобы можно было безопасно обмениваться материалами ключа шифрования.

EAP-TLS считается наиболее безопасным методом беспроводной аутентификации, однако при его реализации возникают сложности. Наряду с AS, каждый беспроводной клиент должен получить и установить сертификат. Установка сертификатов вручную на сотни или тысячи клиентов может оказаться непрактичной.

Вместо этого вам нужно будет внедрить инфраструктуру открытых ключей (PKI), которая могла бы безопасно и эффективно предоставлять сертификаты и отзывать их, когда клиент или пользователь больше не будет иметь доступа к сети. Это обычно включает в себя создание собственного центра сертификации или построение доверительных отношений со сторонним центром сертификации, который может предоставлять сертификаты вашим клиентам.

Агентское по

С точки зрения контроля состояния ПО рабочей станции и авторизации пользователя наиболее эффективна технология “тонкого” клиента. Однако с ростом требований к производительности и появлением муль-тисервисных приложений тонкие клиенты уступают по своим возможностям традиционным решениям на основе персональных компьютеров.

В случае последних вопросы обеспечения безопасности и управления состоянием рабочей станции выходят на первое место. Ведущие свое происхождение от отдельно размещенного агентского ПО, решения становятся все более сложными и комплексными. Многие производители предлагают свое видение архитектуры контроля доступа:

• Network Access Protection (NAP) — Microsoft;
• Network Admission Control (NAC) — Cisco;
• LANdesk Trusted Access — LANDesk;
• Potal Access Protection (TAP) — CheckPoint;
• Universal Network Access Control (UNAC) — Symantec;
• Enterprise Infrared — Juniper.

Архитектура решений основывается на взаимодействии клиент-сервер, где в качестве клиента выступает агентское ПО. В состав наиболее сложных решений входят:

• сервер управления — отвечает за авторизацию пользователя, управление коммутаторами по SNMP и групповыми правилами, а также за обработку собранных данных;
• сервер доступа — служит посредником при передаче агентских запросов, выполняет сетевое сканирование рабочих станций (поиск открытых портов, анализ на уязвимость и т.д.) и следит за применением правил;
• агентское ПО — с его помощью осуществляется сканирование реестра рабочей станции, сбор версий ОС, контроль версий антивирусного ПО, взаимодействие с серверами управления;
• сервера обновлений — с него загружаются обновления ПО на рабочие станции.

Как и в случае 802.1х, сетевой доступ блокируется, если пользователь не зарегистрирован на сервере управления.

Итак, контролировать пользовательский доступ и состояние устройств можно двумя способами. Выбор того или иного решения зависит от многих факторов, в частности от задач, стоящих перед отделом ИТ предприятия. Приводимый ниже типовой пример поможет, как мы надеемся, правильно разобраться с конкретной ситуацией.

Аутентификация по mac-адресу

Аутентификация абонента по его MAC-адресу не предусмотрена стандартом IEEE 802.11, однако поддерживается многими производителями оборудования для беспроводных сетей, в том числе D-Link. При аутентификации по MAC-адресу происходит сравнение MAC-адреса абонента либо с хранящимся локально списком разрешенных адресов легитимных абонентов, либо с помощью внешнего сервера аутентификации (
рис.
9.4).

Пример 9.1

Настроим точку доступа на WEP-шифрование.

1. Подключаемся к точке доступа, вводим режим, SSID, канал, как было описано в примере 1.4. Далее в поле Authentication (Аутентификация) ставим Shared Key (с общим ключом) (
рис.
9.5).

2. Так как аутентификация с общим ключом предполагает еще и шифрование данных по WEP, то в поле Encryption (Шифрование) активно будет только Enable.

3. Выбираем тип ключа (Key Type) и размер ключа (Key Size).

4. Вводим несколько ключей, последовательно выбирая в поле Valid Key (Действующий ключ). При 64-битном ключе с типом ключа ASCII нужно ввести пятизначную последовательность, например passl.

Теперь, после применения настроек, на клиентской стороне надо выставить те же самые параметры и подключиться к ней.

Аутентификация с общим ключом

Аутентификация с общим ключом является вторым методом аутентификации стандарта IEEE 802.11. Аутентификация с общим ключом требует настройки у абонента статического ключа шифрования WEP. Процесс аутентификации иллюстрирует
рис.
9.3:

1. Абонент посылает точке радиодоступа запрос аутентификации, указывая при этом необходимость использования режима аутентификации с общим ключом.
2. Точка радиодоступа посылает подтверждение аутентификации, содержащее Challenge Text.
3. Абонент шифрует Challenge Text своим статическим WEP-ключом и посылает точке радиодоступа запрос аутентификации.
4. Если точка радиодоступа в состоянии успешно расшифровать запрос аутентификации и содержащийся в нем Challenge Text, она посылает абоненту подтверждение аутентификации, таким образом предоставляя доступ к сети.

Изменение сообщений авторизации

Сообщения об изменении авторизации (CoA) содержат информацию о динамическом изменении атрибутов авторизации для пользовательского сеанса, чтобы изменить уровень авторизации. Это происходит в рамках двухшаготного процесса аутентификации, в котором конечная точка сначала аутентификация RADIUS аутентификации MAC, а затем профилируется на основе типа устройства.

Коммутатор отвечает на сообщение CoA сообщением CoA-ACK, если изменение авторизации успешно, или сообщением CoA-NAK, если изменение неуспешно. Если одно или несколько изменений авторизации, указанные в сообщении CoA-Request, не могут быть выполнены, коммутатор отвечает сообщением CoA-NAK.

В сообщениях CoA-Request RADIUS атрибуты используются для уникальной идентификации коммутатора (действующего как NAS) и пользовательского сеанса. Совокупность NAS идентификационных атрибутов и атрибутов идентификации сеансов, включенных в сообщение, должна соответствовать идентификационным атрибутам по крайней мере одного сеанса для успешного запроса; в противном случае коммутатор отвечает сообщением CoA-NAK.

Пакеты CoA-Request также включают атрибуты авторизации сеанса, которые будут изменены при приеме запроса. Поддерживаемые атрибуты авторизации сеанса перечислены ниже. Сообщение CoA может содержать любой или все из этих атрибутов. Если какой-либо атрибут не включен в сообщение о CoA-Request, NAS предполагает, что значение этого атрибута остается неизменным.

Коды причин ошибки

Если операция отключения или coA неуспешна, атрибут Error-Cause (RADIUS атрибут 101) может быть включен в ответное сообщение, отосланное NAS серверу для предоставления подробных данных о причине проблемы. Если обнаруженная ошибка не относится к одному из поддерживаемых значений атрибутов Error-Cause, маршрутизатор отправляет сообщение без атрибута error-cause. Описание кодов причин ошибок, которые можно включить в ответные сообщения, отправленные с Табл. 1 NAS.

Контроль целостности сообщения

Для усиления малоэффективного механизма, основанного на использовании контрольного признака целостности (ICV) стандарта 802.11, будет применяться контроль целостности сообщения (MIC). Благодаря MIC могут быть ликвидированы слабые места защиты, способствующие проведению атак с использованием поддельных фреймов и манипуляции битами.

MIC имеет уникальный ключ, который отличается от ключа, используемого для шифрования фреймов данных. Этот уникальный ключ перемешивается с назначенным MAC-адресом и исходным MAC-адресом фрейма, а также со всей незашифрованной частью фрейма.

Механизм шифрования TKIP в целом осуществляется следующим образом:

1. С помощью алгоритма пофреймового назначения ключей генерируется пофреймовый ключ (
   рис.
   9.10).
2. Алгоритм MIC генерирует MIC для фрейма в целом.
3. Фрейм фрагментируется в соответствии с установками MAC относительно фрагментации.
4. Фрагменты фрейма шифруются с помощью пофреймового ключа.
5. Осуществляется передача зашифрованных фрагментов.

Аналогично процессу шифрования по алгоритму TKIP, процесс дешифрования по этому алгоритму выполняется следующим образом (
рис.
9.11):

1. Предварительно вычисляется ключ 1-й фазы.
2. На основании IV, полученного из входящего фрагмента фрейма WEP, вычисляется пофреймовый ключ 2-й фазы.
3. Если полученный IV не тот, какой нужно, фрейм отбрасывается.
4. Фрагмент фрейма расшифровывается, и осуществляется проверка признака целостности (ICV).
5. Если контроль признака целостности дает отрицательный результат, такой фрейм отбрасывается.
6. Расшифрованные фрагменты фрейма собираются, чтобы получить исходный фрейм данных.
7. Приемник вычисляет значение MIC и сравнивает его со значением, находящимся в поле MIC фрейма.
8. Если эти значения совпадают, фрейм обрабатывается приемником.
9. Если эти значения не совпадают, значит, фрейм имеет ошибку MIC, и приемник принимает меры противодействия MIC.

Меры противодействия MIC состоят в выполнении приемником следующих задач:

1. Приемник удаляет существующий ключ на ассоциирование.
2. Приемник регистрирует проблему как относящуюся к безопасности сети.
3. Ассоциированный клиент, от которого был получен ложный фрейм, не может быть ассоциирован и аутентифицирован в течение 60 секунд, чтобы замедлить атаку.
4. Клиент запрашивает новый ключ.

WPA может работать в двух режимах: Enterprise (корпоративный) и Pre-Shared Key (персональный).

Механизм аутентификации

Первоначально стандарт 802.1x задумывался для того, чтобы обеспечить аутентификацию пользователей на канальном уровне в коммутируемых проводных сетях.

Алгоритмы аутентификации стандарта 802.11 могут обеспечить клиента динамическими, ориентированными на пользователя ключами. Но тот ключ, который создается в процессе аутентификации, не является ключом, используемым для шифрования фреймов или проверки целостности сообщений.

В стандарте WPA для получения всех ключей используется так называемый мастер-ключ (Master Key). На
рис.
9.15 представлена иерархия ключей с учетом последовательности их создания.

Механизм генерации ключей шифрования осуществляется в четыре этапа:

1. Клиент и точка доступа устанавливают динамический ключ (он называется парный мастер-ключ, или PMK, от англ. Pairwise Master Key), полученный в процессе аутентификации по стандарту 802.1x.
2. Точка доступа посылает клиенту секретное случайное число, которое называется временный аутентификатор (Authenticator Nonce – ANonce), используя для этого сообщение EAPoL-Key стандарта 802.1x.
3. Этот клиент локально генерирует секретное случайное число, называемое временный проситель (Supplicant Nonce – SNonce).
4. Клиент генерирует парный переходный ключ (Pairwise Transient Key – PTK) путем комбинирования PMK, SNonce, ANonce, MAC-адреса клиента, MAC-адреса точки доступа и строки инициализации. MAC-адреса упорядочены, MAC-адреса низшего порядка предшествуют MAC-адресам высшего порядка. Благодаря этому гарантируется, что клиент и точка доступа “выстроят” MAC-адреса одинаковым образом (
   рис.
   9.16).
5. Это комбинированное значение пропускается через псевдослучайную функцию (Pseudo Random Function – PRF), чтобы получить 512-разрядный PTK.
6. Клиент посылает число SNonce, сгенерированное им на этапе 3, точке доступа с помощью сообщения EAPoL-Key стандарта 802.1x, защищенного ключом EAPoL-Key MIC.
7. Точка доступа использует число SNonce для вычисления PTK таким же образом, как это сделал клиент.
8. Точка доступа использует выведенный ключ EAPoL-Key MIC для проверки целостности сообщения клиента.
9. Точка доступа посылает сообщение EAPoL-Key, показывающее, что клиент может установить PTK и его ANonce, защищенные ключом EAPoL-Key MIC. Данный этап позволяет клиенту удостовериться в том, что число ANonce, полученное на этапе 2, действительно.
10. Клиент посылает сообщение EAPoL-Key, защищенное ключом EAPoL-Key MIC, указывающее, что ключи установлены.

Отказ порта запроса coa

Когда сообщение CoA используется для изменения VLAN для аутентификации хоста, конечные устройства, такие как принтеры, не имеют механизма обнаружения изменения VLAN, поэтому они не продлевают аренду своего DHCP-адреса в новой VLAN. Начиная с Junos OS 17.

Команда “bounce” для порта отправляется с RADIUS с помощью Juniper Networks поставщика (VSA). Порт отражается, если следующая пара значений атрибута VSA получена в сообщении CoA от RADIUS:

Чтобы включить функцию отказов порта, необходимо обновить файл словаря Junos () на RADIUS сервере с помощью juniper.dct Juniper-AV-Pair VSA. Найдите файл словаря и добавьте в файл следующий текст:

ATTRIBUTE Juniper-AV-Pair		Juniper-VSA(52, string) r

Дополнительные сведения об добавлении VSA можно получить в документации FreeRADIUS.

Эту функцию можно отключить, настроив утверждение ignore-port-bounce на уровне edit protocols dot1x authenticator interface interface-name [] иеерахи.

Открытая аутентификация

Стандарт 802.11 предлагал только два варианта аутентификации клиента: open authentication и WEP.

Open authentication-предполагает открытый доступ к WLAN. Единственное требование состоит в том, чтобы клиент, прежде чем использовать 802.11, должен отправить запрос аутентификации для дальнейшего подключения к AP (точке доступа). Более никаких других учетных данных не требуется.

В каких случаях используется open authentication? На первый взгляд это не безопасно, но это не так. Любой клиент поддерживающий стандарт 802.11 без проблем может аутентифицироваться для доступа к сети. В этом, собственно, и заключается идея open authentication-проверить, что клиент является допустимым устройством стандарта 802.

Вы, вероятно, встречали WLAN с open authentication, когда посещали общественные места. В таких сетях в основном аутентификация осуществляется через веб-интерфейс. Клиент подключается к сети сразу же, но предварительно должен открыть веб-браузер, чтобы прочитать и принять условия использования и ввести основные учетные данные.

Постановка задачи

Рисунок 1.

Преимущества и недостатки решений рассмотрим на конкретном примере. Итак, некая компания имеет центральный офис в Санкт-Петербурге и филиалы в городах РФ. На Рисунке 1 представлена топология локальной сети центрального офиса, семь подразделений которого распределены по всему городу и объединены кольцом Gigabit Ethernet.

Цифрами на рисунке обозначены сегменты VLAN. Пользователи не находятся постоянно в одном и том же подразделении, что связано со спецификой бизнеса, расширением и ремонтом офисов. В результате почти 50% рабочего времени администраторов сети уходит на отслеживание перемещений сотрудников, перенастройку оборудования, документирование и контроль за изменениями в документации.

Рисунок 2.

На Рисунке 2 представлена топология глобальной сети. База данных размещается в центральном офисе, ее копия — в московском филиале. Доступ пользователей из филиалов к базе данных осуществляется по выделенным каналам, а мобильных пользователей — по каналам Internet.

Для всей корпоративной сети предоставлен один домен — Company .lan. Один контроллер домена размещается в центральном офисе, второй — в московском. Оба контроллера реализованы в виде кластера. Пользователи из остальных филиалов регистрируются на ближайшем контроллере домена. Выделенные каналы корпоративной сети резервируются каналами подключения к Internet.

Рисунок 3.

На Рисунке 3 представлена структура Active Directory. Организационному блоку (Organization Unit) соответствуют территориальные подразделения по городам. В каждый из них включены пользователи из конкретного подразделения. В качестве глобальной группы (Global Group) выбраны существующие сегменты VLAN (телекоммуникационный, финансовый и т.д.). Соответственно, пользователи из Organization Unit распределены по представленным группам.

С учетом приведенных данных была поставлена следующая задача:

• пользователи должны иметь доступ к базе данных посредством любого удобного способа подключения, будь то локальная сеть центрального офиса, локальная сеть филиала или удаленный доступ через Internet;
• пользователя следует идентифицировать и отнести к определенному сегменту VLAN с заданными для него правилами доступа к корпоративным ресурсам независимо от места подключения к сети;
• общее снижение затрат на управление ИТ;
• общее повышение защищенности;
• внедрение удобного инструмента для мониторинга пользовательского доступа.

Возможны следующие сценарии подключения пользователей:

• переезды между офисами и филиалами. Необходимо отслеживать, кто, когда, где, с какого IP-адреса произвел подключение к сети. Опционально — сколько времени проработал, какой трафик произвел и т.д.;
• контроль доступа пользователей при их подключении к локальной сети в удаленном офисе;
• посменная работа операторов, кассиров и других сотрудников в многопользовательской среде. Необходимо идентифицировать сотрудника и отследить продолжительность рабочего времени;
• удаленный доступ к ресурсам (из гостиницы и дома) по VPN с авторизацией на уровне сети и на уровне приложений. Решение по организации удаленного доступа через сеть VPN должно быть масштабируемым, при этом сотрудника необходимо идентифицировать и отнести к соответствующей группе с определенными правами доступа к ресурсам;
• предоставление гостевого входа в Internet для рабочих станций заказчиков и партнеров, находящихся на территории организации. Специалисты, не являющиеся сотрудниками организации, направляются в защищенный сегмент с ограниченными правами доступа в Internet;
• подключение принтеров, терминалов и других устройств, не поддерживающих 802.1x или агентского ПО. Эти устройства желательно идентифицировать, отнести к определенной VLAN, присвоить соответствующий IP-адрес и отследить статистику по времени подключения и нагрузке на сетевой трафик. Возможны следующие варианты решений.

Пофреймовое изменение ключей шифрования

Атаки, применяемые в WEP, использующие уязвимость слабых IV (Initialization Vectors), таких, которые применяются в приложении AirSnort, основаны на накоплении нескольких фреймов данных, содержащих информацию, зашифрованную с использованием слабых IV.

Простейшим способом сдерживания таких атак является изменение WEP-ключа, используемого при обмене фреймами между клиентом и точкой доступа, до того как атакующий успеет накопить фреймы в количестве, достаточном для вывода битов ключа.

IEEE адаптировала схему, известную как пофреймовое изменение ключа (per-frame keying). Основной принцип, на котором основано пофреймовое изменение ключа, состоит в том, что IV, MAC-адрес передатчика и WEP-ключ обрабатываются вместе с помощью двухступенчатой функции перемешивания.

IEEE предложила также увеличить 24-разрядный вектор инициализации до 48-разрядного IV.

На
рис.
9.7 представлен образец 48-разрядного IV и показано, как он разбивается на части для использования при пофреймовом изменении ключа.

Процесс пофреймового изменения ключа можно разбить на следующие этапы (
рис.
9.8):

1. Базовый WEP-ключ перемешивается со старшими 32 разрядами 48-разрядного IV (32-разрядные числа могут принимать значения 0-4 294 967 295) и MAC-адресом передатчика. Результат этого действия называется ключ 1-й фазы. Этот процесс позволяет занести ключ 1-й фазы в кэш и также напрямую поместить в ключ.
2. Ключ 1-й фазы снова перемешивается с IV и MAC-адресом передатчика для выработки значения пофреймового ключа.
3. Вектор инициализации (IV), используемый для передачи фрейма, имеет размер только 16 бит (16-разрядные числа могут принимать значения 0-65 535). Оставшиеся 8 бит (в стандартном 24-битовом IV) представляют собой фиксированное значение, используемое как заполнитель.
4. Пофреймовый ключ применяется для WEP-шифрования фрейма данных.
5. Когда 16-битовое пространство IV оказывается исчерпанным, ключ 1-й фазы отбрасывается и 32 старших разряда увеличиваются на 1.
6. Значение пофреймового ключа вычисляется заново, как на этапе 2.

Процесс пофреймового изменения ключа можно разбить на следующие этапы.

Устройство инициализирует IV, присваивая ему значение 0. В двоичном представлении это будет значение 000000000000000000000000000000 000000000000000000.

Первые 32 разряда IV (в рассматриваемом случае – первые 32 нуля) перемешиваются с WEP-ключом (например, имеющим 128-разрядное значение) и MAC-адресом передатчика (имеющим 48-разрядное значение) для получения значения ключа 1-й фазы (80-разрядное значение).

Ключ 1-й фазы вновь перемешивается с первыми (старшими) 32 разрядами IV и MAC-адресом передатчика, чтобы получить 128-разрядный пофреймовый ключ, первые 16 разрядов которого представляют собой значение IV (16 нулей).

Вектор инициализации пофреймового ключа увеличивается на 1. После того как пофреймовые возможности IV будут исчерпаны, IV 1-й фазы (32 бита) увеличивается на 1 (он теперь будет состоять из 31 нуля и одной единицы, 00000000000000000000000000000001 ) и т. д.

Этот алгоритм усиливает WEP до такой степени, что почти все известные сейчас возможности атак устраняются без замены существующего оборудования. Следует отметить, что этот алгоритм (и TKIP в целом) разработан с целью устранить уязвимые места в системе аутентификацииWEP и стандарта 802.11. Он жертвует слабыми алгоритмами, вместо того чтобы заменять оборудование.

Преимущества и недостатки решений

Выбор конкретной реализации зависит от существующей инфраструктуры сети и от поставленных целей. В Таблице 1 даны общие преимущества и недостатки решений.

В связи с необходимостью контроля состояния подключаемых к локальной сети устройств, наиболее предпочтительными выглядят решения на основе агентского программного обеспечения. Однако простота реализации, а также удобство и универсальность USB-ключей, предназначенных для контроля разнообразных видов доступа, делают решения на основе 802,1х актуальными и востребованными.

Стоит ли типовому предприятию использовать комплексное решение на основе агентского ПО с поддержкой 802.1х? Безусловно. Реализация подобного проекта позволит решить все задачи по контролю доступа. Однако в реальных проектах выбор конкретной реализации зависит от существующей инфраструктуры сети заказчика, от поставленных целей и бюджета проекта.

Предыдущая новость:”Платформа АТОЛЛ”: точная информация в нужное времяСледующая новость:Корпоративные и коммерческие ЦОДы: сходства и различия

Спецификация wpa

До мая 2001 г. стандартизация средств информационной безопасности для беспроводных сетей 802.11 относилась к ведению рабочей группы IEEE 802.11e, но затем эта проблематика была выделена в самостоятельное подразделение. Разработанный стандарт 802.

Основные производители Wi-Fi оборудования в лице организации WECA (Wireless Ethernet Compatibility Alliance), иначе именуемой Wi-Fi Alliance, устав ждать ратификации стандарта IEEE 802.

Новый стандарт безопасности WPA обеспечивает уровень безопасности куда больший, чем может предложить WEP Он перебрасывает мостик между стандартами WEP и 802.11i и имеет немаловажное преимущество, которое заключается в том, что микропрограммное обеспечение более старого оборудования может быть заменено без внесения аппаратных изменений.

IEEE предложила временный протокол целостности ключа (Temporal Key Integrity Protocol, TKIP).

Основные усовершенствования, внесенные протоколом TKIP:

Стандарт 802.1х

Появление 802.1х было вызвано необходимостью контроля подключений персональных устройств в беспроводных сетях. Протоколы 802.1x, EAP, RADIUS стандартизированы комитетом IEEE как 802.11i, а также сертифицированы «Альянсом Wi-Fi» под названием WPA (Wi-Fi Protected Access) или WPA2.

Встроенная поддержка 802.1х включена во все последние версии Windows, а клиентское ПО для операционных систем, предшествовавших Windows XP, предлагают компании Funk Software (приобретена компанией Juniper Networks) и Meetinghouse (приобретена Cisco Systems).

В случае 802.1х аутентификация выполняется “на уровне порта” — то есть до ее завершения пользователю разрешено посылать только определенные пакеты: Extensible Authentication Protocol over LAN (EAPOL), Cisco Discovery Protocol (CDP) и Spanning Tree Protocol (STP).

Для реализации контроля доступа по протоколу 802.1x требуется вспомогательная инфраструктура — клиенты, коммутаторы локальной сети с поддержкой протокола 802.1х, сервер RADIUS и база данных учетных записей (например, служба Active Directory). Пользователь идентифицируется на основе имени/ пароля или цифрового сертификата. Последний может размещаться как в хранилище сертификатов на рабочей станции, так и на накопителе USB или смарт-карте.

Стандарт сети 802.11i с повышенной безопасностью (wpa2)

В июне 2004 г. IEEE ратифицировал давно ожидаемый стандарт обеспечения безопасности в беспроводных локальных сетях – 802.11i.

Действительно, WPA достоин восхищения как шедевр ретроинжиниринга. Созданный с учетом слабых мест WEP, он представляет собой очень надежную систему безопасности и, как правило, обратно совместим с существующим Wi-Fi-оборудованием. WPA – практическое решение, обеспечивающее достаточный уровень безопасности для беспроводных сетей.

Однако WPA – компромиссное решение. Оно все еще основано на алгоритме шифрования RC4 и протоколе TKIP Вероятность выявления каких-либо слабых мест хотя и мала, но все же существует.

Абсолютно новая система безопасности, лишенная недостатков WEP, представляет собой лучшее долгосрочное и к тому же расширяемое решение для безопасности беспроводных сетей. С этой целью комитет по стандартам принял решение разработать систему безопасности с нуля. Это новый стандарт 802.11i, также известный как WPA2 и выпущенный тем же Wi-Fi Alliance.

Стандарт 802.11i использует концепцию повышенной безопасности (Robust Security Network – RSN), предусматривающую, что беспроводные устройства должны обеспечивать дополнительные возможности. Это потребует изменений в аппаратной части и программном обеспечении, т.е. сеть, полностью соответствующая RSN, станет несовместимой с существующим оборудованием WEP.

В переходный период будет поддерживаться как оборудование RSN, так и WEP (на самом деле WPA/TKIP было решением, направленным на сохранение инвестиций в оборудование), но в дальнейшем устройства WEP начнут отмирать.

802.11i приложим к различным сетевым реализациям и может задействовать TKIP, но по умолчанию RSN использует AES (Advanced Encryption Standard) и CCMP (Counter Mode CBC MAC Protocol) и, таким образом, является более мощным расширяемым решением.

Уязвимость аутентификации с общим ключом

Аутентификация с общим ключом требует настройки у абонента статического WEP-ключа для шифрования Challenge Text, отправленного точкой радиодоступа. Точка радиодоступа аутентифицирует абонента посредством дешифрации его ответа на Challenge и сравнения его с отправленным оригиналом.

Обмен фреймами, содержащими Challenge Text, происходит по открытому радиоканалу, а значит, подвержен атакам со стороны наблюдателя (Man in the middle Attack). Наблюдатель может принять как нешифрованный Challenge Text, так и тот же Challenge Text, но уже в шифрованном виде (
рис.
9.6).

Шифрование WEP производится путем выполнения побитовой операции XOR над текстом сообщения и ключевой последовательностью, в результате чего получается зашифрованное сообщение (Cipher-Text).

Важно понимать, что в результате выполнения побитовой операции XOR над зашифрованным сообщением и ключевой последовательностью мы имеем текст исходного сообщения.
Таким образом, наблюдатель может легко вычислить сегмент ключевой последовательности путем анализа фреймов в процессе аутентификации абонента.