Zabezpečení sítě proti neoprávněnému přístupu pomocí funkce NetworkLogin 802.1x

Filip Weber Tutoriály 14. listopadu 2007

S přechodem většiny důležitých vnitropodnikových dat na elektronickou formu může získání přístupu neautorizovanou osobou k počítačové síti znamenat pro firmu potencionální nebezpečí. Z tohoto důvodu je nutné podobnému jednání zamezit.

To neznamená zabezpečit fyzický přístup k aktivním prvkům či počítačové kabeláži, ale zejména znemožnit k počítačové síti v libovolném místě připojit donesený notebook, bezdrátový přístupový bod či analyzátor sítě. Řízením přístupu k síti lze v aktivních prvcích přesně vyspecifikovat skupinu zařízení či uživatelů, kteří se mohou přes tento aktivní prvek připojit. Ostatní zařízení/uživatelé potom nebudou do sítě vpuštěni dočasným či trvalým zablokováním fyzického portu, skrz který se pokoušeli neoprávněně do sítě připojit.

NetworkLogin 802.1x

Zabezpečení počítačové sítě pomocí funkce NetworkLogin 802.1x umožňuje aktivnímu prvku bezpečně ověřit uživatele na základě uživatelského jména a hesla a teprve po ověření jej připustit ke zdrojům sítě. Aktivním prvkem může být v tomto případě přepínač, přístupový server, bezdrátový přístupový bod (AP). Ověřovací autoritou není aktivní prvek sám, ale centrální databáze uživatelů, se kterou jako její klient komunikuje. Tato databáze se nazývá RADIUS (Remote Authentication Dial In User Service – RFC 2865). RADIUS server je možné provozovat jako službu integrovanou v Microsoft ActiveDirectory.

Ověření pomocí funkce NetworkLogin 802.1x

Ověření pomocí funkce NetworkLogin 802.1x

Celý proces ověření probíhá tak, že stanice (v terminologii 802.1x Suplicant) se připojí k portu  zabezpečenému 802.1x. Svoji existenci přepínači dá najevo libovolným paketem, například požadavkem o přidělení IP adresy. Přepínač však přijatý DHCP požadavek nepřeposílá dál, ale obratem posílá žádost o identifikaci zpět na stanici. Stanice odpovídá svým uživatelským jménem a heslem. Přepínač přijaté informace zašifruje do paketu a pošle na ověřovací autoritu. RADIUS server provede vyhodnocení přijatých informací a zpět přepínači odešle potvrzení či odmítnutí uživatele. Přepínač na základě této informace vpustí či odmítne stanici přístup do takto zabezpečené sítě. 

Metody ověřování

Stanice může být ověřena na základě uživatelského jména a hesla nebo digitálního certifikátu. Ověřování pomocí digitálního certifikátu vyžaduje, aby v síti byla instalována Certifikační autorita a stanice měly přidělené digitální certifikáty.

RADA

Radius Authenticated Device Access - rozšíření technologie Network Login, která umožní přihlášení do sítě a rozšíření na všechna zařízení, bez ohledu na klienta, tedy například i síťové tiskárny, IP telefony, bezdrátové přístupové body, terminály a podobně. RADA navíc  umožňuje definovat řízený přístup k síti pro dočasné uživatele, které začlení do definované hostitelské oblasti, například s přístupem pouze do Internetu. RADA používá k ověření fyzickou adresu, ale lze ji kombinovat i s ověřením přes uživatelské jméno a heslo. Síť potom rozlišuje, zda je   připojeno povolené zařízení nebo neznámý počítač, případně v kombinaci s přihlášením rozlišuje i práva uživatele. Tyto způsoby ověření podporují i automatické zařazení uživatele ke skupině (AutoVLAN) nebo automatické nastavení kvality služby (AutoQoS).

AutoVLAN

Funkce, která doplňuje ověřování uživatele a umožňuje automatizovat nastavení virtuální sítě. Uživatel/stanice má na ověřovacím serveru uveden rovněž příznak skupiny (vedle jména a hesla). Po úspěšném ověření uživatele je port přístupového přepínače nastaven do příslušné virtuální sítě. Uživatelé a stanice jsou potom nezávislí na místě připojení, vždy dostanou stejné prostředí.

GuestVLAN

Funkce umožňují automatické zařazení neautorizovaných uživatelů do zvláštní VLAN, která má nastavená přístupová pravidla třena jen pro přístup k Internetu.

AutoQoS

Funkce, která doplňuje ověřování uživatele a umožňuje automatizovat nastavení QoS parametrů. Uživatel/stanice má na ověřovacím serveru uveden příznak QoS, vedle jména a hesla. Po úspěšném ověření uživatele je na port přístupového přepínače nastavena příslušná kvalita služby. Uživatelé a stanice jsou potom nezávislí na místě připojení, vždy dostanou stejné prostředí.

Voice VLAN

Funkce, která usnadní konfiguraci uživatelům IP telefonie. Podporuje IP telefony hlavních dodavatelů a automaticky umístí telefon do definované hlasové VLAN.

DHCP Tracker

Zajímavá funkce přepínačů, které směrují IP provoz. L3 přepínač sleduje, zda stanice používá adresu, kterou získala korektní DHCP žádostí. Funkce umožní komunikovat mimo svoji VLAN pouze klientům, kteří přijali svoji IP adresu z DHCP serveru. Pokud uživatel manuálně nastaví jiné parametry, přepínač komunikaci zablokuje.

PVLAN

Privátní virtuální síť sice není přímo součástí NetworkLogin, ale je výborným rozšířením zabezpečení sítě. PVLAN zajistí, že stanice/uživatelé v jedné VLAN nemohou vzájemně sdílet prostředky. Můžou komunikovat pouze směrem na L3 interface. Zde můžou být aplikována další přístupová pravidla.


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.