IEEE 802.1X
IEEE 802.1X je v
informatice název protokolu, který umožňuje zabezpečení přístupu do počítačové
sítě. Pokud se klient (počítač) připojí k přípojnému bodu (UTP kabelem do
síťového portu u switche, ale i k bezdrátovému přístupovému bodu u Wi-Fi), je po
něm pomocí IEEE 802.1X vyžadována autentizace (např. uživatelské jméno a heslo).
Přípojný bod blokuje veškerý ostatní datový provoz klienta do té doby, než je
úspěšně autentizován. Pro řízení autentizace je u klienta používán suplikant
(„prosebník“), u přípojného bodu je vyžadována dodatečná podpora (tj. switch s
managmentem).
Obsah [skrýt]
1 Využití 802.1X
2 Princip činnosti 802.1X
3 Výhody a nevýhody
4 Implementace
5 Externí odkazy
Využití 802.1X
Protože v minulosti měly k počítačům přístup pouze zodpovědné a speciálně
vyškolené osoby, nebyla bezpečnost počítačových sítí prioritou. Situace se
změnila s pronikáním počítačů mezi širokou veřejnost. 802.1X zabraňuje
neautorizovaným osobám v přístupu k síťové komunikaci, aniž by bylo nutné
všechna připojená zařízení fyzicky autorizovat. Uplatní se i v bezdrátových
sítích, kde je fyzické zabezpečení v podstatě nemožné a volné připojení by mohlo
být snadno zneužito.
Princip činnosti 802.1X
Schema 802.1X
Pokud se uživatel připojí na síťový port, má
blokovanou veškerou komunikaci kromě EAP protokolu, který zajišťuje autentizaci.
Ta proběhne takto:
klient se připojí k přípojnému bodu
přípojným bodem může být
například switch nebo bezdrátový přístupový bod (AP)
přípojný bod akceptuje
pouze autentizační EAP rámce
ostatní (datový) provoz od klienta je blokován
klient odešle autentizační informace pomocí EAP protokolu
autentizaci řídí u
klienta speciální nástroj, tzv. suplikant („prosebník“)
přípojný bod přepošle
žádost RADIUS serveru
na RADIUS serveru proběhne ověření uživatele
pokud
je uživatel lokální, proběhne jeho ověření přímo na RADIUS serveru
pokud
uživatel lokální není, proběhne žádost o autentizaci přes strukturu RADIUS
serverů až k uživatelově domovské síti
o výsledku autentizace je informován
přípojný bod, který v případě úspěchu odblokuje klientovi datový provoz
Výhody a nevýhody
Výhody:
blokování neautorizovaných osob v síti nebo osob, které mají z
určitých důvodů přístup k síti zakázaný (šíření virů, spam…).
v kombinaci s
různými dalšími technologiemi je možné umístit nežádoucí uživatele do tzv. VLAN,
což je vlastně pořád ta samá síť, ale s výrazným karanténním omezením. Uživatel
může využívat minimum síťových zdrojů, ale stále má přístup k nástrojům na
případně odvirování počítače.
Nevýhody:
Počítač, který je připojený na neautorizovaný port nemá k síti
přístup. To je velká nevýhoda pro vzdálenou správu počítače i když existují
metody, jak se tomuto opatření vyhnout.
Je nutné poznamenat, že 802.1X kromě
řízení přístupu k portům počítačové sítě nenabízí žádné další zabezpečení. Pokud
se tedy útočník dostane přes tuto ochranu do sítě, která již není jinak
chráněná, není jeho pohyb v síti již nijak omezován.
Implementace
Windows XP i Windows Vista podporuje 802.1X pro
všechna síťová připojení. Windows 2000 podporuje 802.1X až s posledním service
packem. Pro ostatní verze, které nepodporují 802.1X v základní verzi (i pro
některé handheldy), lze použít programy třetích stran, například SecureW2 802.1X
client od Juniperu.
Pro Linux vytvořil projekt Open1X open source klienta, Xsupplicant. Obecnější wpa_supplicant může být použit nejen pro drátové, ale také pro bezdrátové připojení IEEE 802.11.
Mac OS X nabízí podporu pro 802.1X od verze 10.3.