Zasada działania protokołu 802.1X w ochronie dostępu do sieci wewnętrznej

IEEE 802.1X to jeden z najstarszych i najpopularniejszych protokołów oferujący różne sposoby uwierzytelnienia użytkowników. Jak jest zasada działania protokołu 802.1X?

Kontrola dostępu do sieci: jak to się zaczęło?

Dawno, dawno temu sieci budowano w oparciu o technologię przełączania w warstwie pierwszej (warstwy fizycznej) za pośrednictwem takich urządzeń jak huby.
Huby, czyli koncentratory sieciowe, były stosunkowo prostymi urządzeniami mającymi funkcje przełączania w obrębie jednej sieci. Przy pomocy hubów nie można było tworzyć podsieci, nie można było otworzyć VLAN-ów (ang. Virtual Local Area Network). Nie można było pomyśleć nawet o tym, żeby zaimplementować jakikolwiek protokół do autoryzacji urządzeń czy użytkowników.
Następnie pojawiły się pierwsze switche, które miały już możliwość konfiguracji i zarządzania.
Kiedy była już możliwość odseparowania poszczególnych sieci i podsieci okazało się, że konieczne jest wdrożenie zabezpieczenia przed nieautoryzowanym dostępem do zasobów na porcie switcha. Takim pierwszym protokołem do autoryzacji był tzw. MAC autentykacja (ang. Media Access Control — MAC authentication). Polegał on na uwierzytelnianiu urządzeń na podstawie ich fizycznych adresów MAC.
Mogliśmy stworzyć access-control list, ACL (ang. Access Control List) dla danego portu na switchu, który poprzez odpowiedni wpis w tablicy mógł wpuszczać lub nie wpuszczać adresy MAC. Niestety taki mechanizm kontroli dostępu miał wiele wad. Okazał się niewystarczający i oferował stosunkowo słaby poziom zabezpieczeń. Aby dostać się od sieci, wystarczyło zmienić swój MAC adres lub podmienić go z MAC adresem innego urządzenia (np. drukarki podpiętej do sieci).
Pojawiła się potrzeba ściślejszej kontroli dostępu. W ten sposób powstał protokół 802.1X.

Co to jest IEEE 802.1X?

IEEE 802.1X jest standardem kontroli dostępu w sieciach bezprzewodowych i przewodowych opartym na portach (PNAC, ang. port-based network access control). Opracowany został przez 3Com, HP i Microsoft®, a po raz pierwszy został zatwierdzony jako standard w czerwcu 2001 r.

Jak działa 802.1X?

Protokół 802.1X daje możliwość ochrony wewnętrznej sieci poprzez dostęp do różnego typu metod uwierzytelniania np. nazwa użytkownika/hasło, certyfikaty itp.

Kluczowe elementy IEEE 802.1X obejmują wnioskodawcę (suplikanta), osobę uwierzytelniającą, serwer uwierzytelniania RADIUS (ang. Remote Authentication Dial In User Service), i EAPoL Protocol (protokół uwierzytelniania przez sieć LAN).

• Suplikant: to urządzenie końcowe, które próbuje połączyć się z siecią lub oprogramowanie klienckie, które jest wymagane w urządzenia końcowym w celu uczestnictwa w procesie uwierzytelniania 802.1X.
• Serwer uwierzytelniania: serwer uwierzytelniania RADIUS, który weryfikuje żądanie dostępu wnioskodawcy. To kluczowy element sieci opartej na tego typu protokole uwierzytelniania. Na jego barkach spoczywa uwierzytelnianie i autoryzowanie użytkowników. Na poziomie serwera weryfikowane są poświadczenia użytkownika i przyznawane różne poziomy dostępu do sieci.
• Referencja: może zawierać nazwę użytkownika/hasło, certyfikat cyfrowy lub inne metody.
• Authenticator: Authenticator to urządzenie sieciowe, które pozwala na przekazywanie poświadczenia między suplikantem, a serwerem uwierzytelniającym.

Dowiedz się więcej o projektowaniu sieci WLAN: Projektowanie sieci bezprzewodowej WLAN i propagacja fal radiowych

Jak to działa w praktyce?

Mechanizm działania tego typu uwierzytelnienia jest bardzo prosty.

1. Serwer dostępu do sieci NAS (ang. Network Access Server), lub inne urządzenie pozwalające na dostęp do zasobów działające w systemie, prosi użytkownika o dane uwierzytelniające.
2. Wymagane dane, które zostaną wprowadzone przez użytkownika, czyli identyfikator lub/i hasło zostają przesłane do serwera RADIUS.
3. RADIUS korzystając ze specjalnego, dedykowanego oprogramowania, dokonuje weryfikacji zawartości własnych baz danych z danymi podanymi przez użytkownika.
4. W zależności od wyniku tej weryfikacji RADIUS może przyznać lub nie przyznać dostępu do danych użytkownika. Zazwyczaj prezentowane jest to za pomocą trzech rodzajów komunikatów.

• ACCEPT – uzyskanie uwierzytelniania,
• REJECT – brak uwierzytelnienia, dostęp do zasobów sieci jest zabroniony,
• CHALLENGE – prośba o wprowadzenie dodatkowych danych uwierzytelniających.

W przypadku pozytywnej weryfikacji użytkownik otrzymuje określony poziom dostępu i może korzystać z sieci wewnętrznej.

Zauważmy, że w tej metodzie każdy użytkownik ma indywidualne, unikalne poświadczenie i certyfikat. W ten sposób unikamy używania np. jednego hasła sieciowego, które może zostać szybko skradzione.

Wdrożenie protokołu 802. 1X kontra wdrożenie kontroli dostępu do sieci NAC

W zagadnieniach związanych z kontrolą dostępu bardzo często pojawiają się terminy: Network Access Control (NAC) i kontrola dostępu z wykorzystaniem protokołu 802.1X. Czasami pojęcia te są mylone. W istocie NAC jest rozwiązaniem znacznie szerszym. To system, który zawiera w sobie różne procesy i protokoły pozwalające na centralne zarządzanie dostępem do wszystkich zasobów sieci wewnętrznej firmy. NAC to system nadrzędny, który oprócz poszczególnych protokołów zawiera w sobie również różnego typu polityki związane z określeniem uprawnień poziomami dostępu, a także monitorowaniem całej sieci przedsiębiorstwa. Jednym z elementów funkcjonujących w systemie NAC jest właśnie protokół 802.1X odpowiedzialny za autoryzację i uwierzytelnienie użytkowników. Oferuje urządzeniom, które chcą podłączyć się do sieci LAN lub WLAN, mechanizm uwierzytelniania.

Przeczytaj również o: Firewall NGFW – na co zwrócić uwagę przy wyborze?

Jakie są zalety z wykorzystania protokołu 802.1X?

Korzystanie z protokołu 802.1X jako sposobu kontroli dostępu do sieci ma wiele zalet. Do najważniejszych z nich należą:

Uniwersalność i powszechność

Jedną z najważniejszych zalet protokołu 802.1X jest jego uniwersalność. Standard działa zarówno w sieci przewodowej jak i bezprzewodowej. Warto pamiętać, że to stosunkowo stary protokół, który został po raz pierwszy wdrożony w 2001 roku. Jest wspierany przez większość urządzeń należących do infrastruktury sieciowej, w tym bezprzewodowe punkty dostępowe, kontrolery czy switche zarządzalne.

Wyższy poziom zabezpieczeń dzięki dynamicznym kluczom

Większe sieci bezprzewodowe oparte na standardzie 802.1X umożliwiają bezpieczne szyfrowanie poprzez wykorzystanie dynamicznych kluczy. Istotą dynamicznego klucza jest ograniczony czas jego ważności. Użytkownik ma przydzielony klucz wyłącznie na czas określonej sesji. W ten sposób zapewniamy znacznie wyższy poziom zabezpieczeń.

Wiele metod uwierzytelnienia

Uwierzytelnienie w standardzie IEEE 802.1X nie ogranicza się tylko i wyłącznie do podania nazwy użytkownika i hasła. Tak naprawdę standard jest bardzo elastyczny i obsługuje wiele metod uwierzytelnienia, do których należą również tokeny, hasła jednorazowe OTP, certyfikaty infrastruktury klucza publicznego, certyfikaty z zewnętrznych urzędów certyfikacji itp. Umożliwia również dodanie nowych sposobów uwierzytelniania, które pojawiają się w przyszłości.

Pozwala na różne poziomy dostępu

Stosowanie standardu umożliwia również określenie różnych poziomów dostępu do sieci. W przypadku sieci hotelowej inny poziom dostępu mogą mieć pracownicy, a inny – goście hotelowi. W tym przypadku goście będą mieli oddzielne sieci WLAN i otrzymają ograniczony dostęp do zasobów sieciowych, a także inne polityki bezpieczeństwa.

Uwierzytelnia wiele punktów końcowych

Standard może być stosowany do uwierzytelniania różnego typu punktów końcowych: od standardowych urządzeń jak komputery PC, laptopy czy telefony, po sieciowe kamery monitorujące, telefony IP czy IoT.

Pomimo tego, że od momentu jego powstania minęło już ponad 20 lat, standard 802.1X nadal jest popularnym i nadal stosowanym sposobem uwierzytelniania. Rzadziej wykorzystywany jest jako osobny protokół, a coraz częściej jako element składowy większych systemów takich jak NAC, oferujących kompleksowe rozwiązania kontroli, monitoringu i bezpieczeństwa sieciowego.

Jeżeli szukasz metody, która pozwoli ci na skuteczną ochronę swojej sieci przed nieproszonymi gośćmi z zewnątrz, NAC wraz z protokołem IEEE 802.1X jest jednym z rozwiązań jakie powinieneś rozważyć.

Pamiętaj, że najlepszym sposobem na sprawdzanie działania i zlokalizowanie luk w bezpieczeństwie sieci WLAN jest przeprowadzenie audytu infrastruktury IT .

Ostatnia aktualizacja 2024-02-21