Bezpečnost uvnitř sítí

Zabezpečení síťové infrastruktury využitím protokolu 802.1X

Veškeré podnikové sítě čelí novým a stále nebezpečnějším hrozbám. Nekontrolovaný přístup neautorizovanou osobou k podnikové síti může znamenat pro firmu potenciální nebezpečí s fatálními důsledky pro vývoj firmy.

Při zabezpečování sítí musíme vzít v úvahu řadu skutečností. Postupně se vytrácejí ostře definované hranice sítí. Příčinami jsou rozprostřené aplikace a síťové služby, četná a různorodá externí připojení a přístupové metody, mobilní uživatelé pohybující se v různých sítích, zranitelné stanice, které se mohou po napadení v okamžiku změnit v nebezpečného útočníka. Každý přístupový bod do sítě je potenciálním místem, odkud může být veden útok proti síti. To platí například i pro porty LAN přepínačů ve vnitřní síti.

Objevují se stále nové aplikace a služby sítě, jako například IP telefonie, aplikace využívající bezdrátového přístupu, řešení využívaná mobilními uživateli, metody přímé komunikace stanic přes P2P. Všechna tato řešení přinášejí potenciálně nová rizika. Nepřetržitě se objevují nová slabá místa u koncových zařízení, služeb i infrastruktury sítě a vynořují se nové kódy a metody, které uvedená slabá místa zneužívají. Doba mezi objevením zranitelnosti a jejím zneužitím se zřetelně zkracuje a útoky v internetu jsou většinou automatizované, takže životnost nechráněného PC je cca 5 minut.

Obvyklé řešení zabezpečení v podnikových sítích

Pro zamezení zmíněných problémů při zabezpečení sítí administrátoři obvykle používají řadu zařízení a nástrojů, jako jsou firewally a DMZ na perimetru sítě. Na stanicích uvnitř podnikové sítě najdeme lokální antiviry a omezení přístupových práv na základě uživatelského účtu a definované bezpečnostní politiky. V sítích s implementovanou Windows doménou je přístup uživatele k prostředkům sítě limitován atributy nadefinovaných v Active Directory.

V takovéto podnikové síti jsou veškerá bezpečnostní opatření aplikována od 3. do 7. síťové vrstvy, což v důsledku nezabezpečí možný útok na 2. linkové vrstvě, který umožní  případnému narušiteli sledování provozu na síti, odposlechnutí provozu řádně přihlášené stanice, získání hesla do Active Directory, šíření škodlivého kódu a pod. Z důvodu, že potencionální útočník má přístup k aktivnímu portu síťové infrastruktury, nedokážeme zabránit ani cílenému síťovému útoku k přístupu ke službám DoS a DDoS.

Standardní zabezpečení přihlášením přes Windows doménu nezabrání potencionálnímu útočníkovi pracovat na síťové infrastruktuře a neochrání lokální síť proti narušitelům z vnitřní sítě. Je třeba zabránit neověřenému přístupu už na úrovni fyzického portu.

Síťová autentizace 802.1X

Zabezpečení počítačové sítě využitím standardizovaného IEEE 802.1X protokolu umožňuje jednoduché a efektivní zabezpečení fyzického přístupu do počítačové sítě. Protokol definuje role zařízení v síti, řízení stavů portů síťových zařízení, způsob  formátování a přenosu autentizačních údajů přes EAP protokol v prostředí LAN sítě, které umožní aktivnímu prvku v síti bezpečně ověřit uživatele na základě uživatelského jména a hesla, popř. certifikátu a teprve po úspěšném ověření zpřístupnit zdroje sítě. Do doby před úspěšným ověřením je port na aktivním prvku pro přenos dat uzavřen a port propouští pouze rámce přenášející autentizační informace.

Komponenty síťové autentizace 802.1X

802.1X protokol definuje role zařízení v síti:

Supplicant - označovaný jako klient převezme ověřovací údaje ze stanice, nebo od uživatele (těmi může být uživatelské jméno a heslo nebo certifikát). Je v praxi představován softwarovým modulem na stanicích, IP telefonech apod. V současné době je nativní podpora v operačních systémech Microsoft Windows již od verze 2000 se SP4, pouze je potřebné spustit službu EAP. Pro Linux je k dispozici open source klient xsupplicant a wpa_supplicant. Samozřejmostí je i podpora v dalších systémech, jako je Mac OS X, popř. je možno využít specializované programy třetích stran.

Authenticator - typicky je představován LAN přepínačem ke kterému je připojena stanice, bezdrátovým přístupovým bodem, nebo směrovačem. Aktivní prvek poskytuje klientovi port (fyzický nebo logický) k přístupu do sítě LAN, kde jsou stavy portu řízené protokolem 802.1X a umožňují průchod paketů pokud je v autorizovaném stavu, nebo ho blokují.

Authentication Server - vyhodnocuje ověřovací informace od klienta, většinou jde o AAA server využívající RADIUS protokol, který může komunikovat s externími databázemi uživatelů (MS Active Directory, Novell NDS, LDAP, ODBC) a může být implementován na stejném zařízení jako Authenticator.  RADIUS server je možné provozovat jako službu integrovanou v MS Active Directory na serverech se systémem Windows Server 2003 a Microsoft Server 2008. K dispozici je také řešení postavené na platformě Linux (freeRADIUS) a programy třetích stran.

Využití síťové autentizace 802.1X

Mimo základní důvod pro síťovou autentizaci 802.1X v LAN sítích, což je zajištění, aby se do sítě nemohli připojit nežádoucí uživatelé, můžeme tuto autentizaci využít také pro kontrolu a omezení přístupu do sítě pro externí spolupracovníky, pro odlišení skupin pracovníků a definování rozličných pravidel pro přístupy, pro odlišení uživatelů pracujících na sdílených počítačích a neposledně také pokud potřebujeme mít přehled na kterém portu je který konkrétní uživatel připojen pro účely logování a účtování.

Protokol 802.1X je v dnešní době standardem a základním bezpečnostním prvkem při implementaci pokročilých bezpečnostních řešení, jako jsou Network Access Control, Network Access Protection, Cisco TrustSec, TippingPoint Quarantine a pod.

Copyright © 2014 AG COM

OP LZZ Projekt Mapa stránek Informace o webu Twitter LinkedIn Vyrobil a spravuje FG Forrest, a.s.