Skip navigation
IDG.bg PC World Computerworld CIO CFO Networkworld Business How Кариерна зона
вход регистрация бюлетини

Безжичната LAN сигурност - заплахи и пробиви

Networkworld България - брой 3, 2002 г. / Съдържание
2153 прочитания, 0

От 1986 г. досега всяка година инженерите си вземат шапките и отиват на изложението NetWorld+Interop, за да създават тест за съвместна работа между устройствата на различни производители, фокусирайки се върху най-горещите технологии. Тази година бе проверена публично “разбирателството” между продукти, ползващи стандарта за безжична сигурност 802.1x, както и съвместяването на MPLS базирани продукти. Несигурността винаги е била скрития таен недостатък на безжичната технология в големите корпоративни мрежи Възможностите за криптиране и автентификация на създадения преди 3 г. WEP протокол бяха дискредитирани като недостатъчно надеждни за употреба в корпоративните мрежи. Провалът на WEP накара много производители да “прегърнат” стандарта 802.1x, който обещава да защити както безжичните, така и кабелните LAN. Плюсът на този протокол е съвместимостта. В опитната постановка по време на изложението NetWorld+Interop са били включени приложения (клиентски софтуер) на Cisco, Funk Software, HP, MDC и Microsoft, шест безжични устройства за достъп 802.11b на 3Com, Cisco, Enterasys Networks, Karlnet, Symbol и Wind River, два комутатора на Cisco и HP и 5 RADIUS автентифицращи сървъра, поддържащи 802.1x заявки на HP, Microsoft, Secure Computing, Funk и др. Опитът показал, че въпреки сложността на конфигурирането, веднъж настроена мрежата работи безотказно, свързвайки различните сървъри и приложения. Основните ограничения са в автентифициращи методи, поддържани в отделните операционни системи и БД. Да построиш 802.1x мрежа Разгръщането на 802.1x включва 5 компонента. Търсещият софтуер се стартира върху устройството, което се нуждае от автентификация. На клиента е необходим и 802.1x съвместим мрежов адаптер. Това изглежда просто, но не всички агенти работят с всички карти. Търсещият софтуер трябва да “говори” с автентификатор, например безжично устройство за достъп или LAN комутатор, поддръжащ 802.1x. Автентифицирането се обработва от автентифициращ сървър, обикновено RADIUS, който поддръжа и EAP протокол (Extensible Authentication Protocol). На практика не е необходимо това да бъде RADIUS сървър, функцията може да бъде вградена и в безжичното устройство за достъп. Всяко предприятие, което си монтира безжична мрежа обаче, има и RADIUS сървър, тъй като той централизира процеса и се мащабира добре. Освен това автентифицращият сървър трябва да “общува” с потребителската БД. Това може да бъде списък с потребители и пароли, LDAP директория или SQL база данни, цифрови сертификати, издадени от PKI система. Стартира се с “търсещият софтуер” Изборът на прогами, поддръжащи 802.1x е доста ограничен. Той е вграден в Windows XP и .Net версията на Windows CE. За другите платформи задачата не е толкова проста. MDC и Funk имат Windows базирани 802.1x програми за по-ранни версии на ОС на Microsoft, като MDC предлага и безплатен клиент за Linux. Като временна мярка за пълна поддръжка на 802.1x в цялата си продуктова линия, Cisco създаде нестандартна версия на 802.1x автентификацията, наречена Lightweight EAP (LEAP). Този протокол е вграден в безжичните драйвери на Cisco, които работят на Aironet адаптерите и са вградени в устройствата за достъп. Предлагат се за повечето Windows платформи, Macintosh и Linux. Друг критерий при избора на търсещ софтуер е как той взаимодейства с автентифициращия метод, ползвано от безжичното оборудване. Въпреки че EAP разчита на над 12 автентифициращи метода, само 4 са по-популярните. Освен Cisco LEAD, това са - Message Digest 5 (MD5), еднопосочна автентификация от тръсещия софтуер към мрежата, използваща пароли; - Transport Layer Security си служи с PKI цифрови сертификати за по-сериозна взаимна автентификация; - Tunneled TLS (TTLS) комбинира мрежово базирани сертификати с друг вид автентификация като токъни или пароли. MD5 автентификацията е най-лесна за настройка и конфигуриране, но не дава достатъчна сигурност. Методът дава само оторизация само на клиента, не се автентифицира мрежата. По този начин тя е отворена за атаки от човек, който има физически достъп до безжичния клиент. Изборът на нещо различно от MD5 обаче изисква внедряване на PKI система за издаване на сертификати. Може да се използва вградената в Windows 2000 Server сертифциращ агент. TLS автентификацията си служи с цифрови сертификати и от страна на автентифициращия сървър, и към агента. TLS е същия протокол, който се използва в web сървърите за “https:” URL, често употребявано и в защитрените SMTP пощенски услуги, Post Office Protocol и Internet Message Access Protocol. Ако вече сте купили PKI решение, TLS автентификацията в 802.1x е добър избор. TLS е базирана на стандарти и ползва утвърдени протоколи. Той работи дори с новите безжични принтери на HP, поддържащи 802.1x. Чрез TTLS автентификацията лесно се издават сертификати на автентифициращите сървъри. Тези сертификати се ползват за еднопосочна TLS автентификация (от мрежата към потребителя) и след като имате изграден сигурен криптиран и проверен за интегритета на данните канал, може да се ползва TLS тунела за друг вид автентификация като токъни или двойка име/парола. TTLS предлага взаимна автентификация без да е необходимо да се раздават и управляват сертификати до всички потребители. Автентификатори Това е доста сериозен термин за нещо, чиято основна функция е да разпакетира EAP от 802.1x и да пакетира в RADIUS, за да го препрати към автентифициращия сървър. В този смисъл всички автентификатори, поддържащи 802.1x, би трябвало да се справят добре. Но някои на практика поглеждат в EAP пакетите и блокират някои приложения. Когато се избира автентификатор (всъщност при избора на безжично устройство за достъп), трябва да сме сигурни, че поддържа както 802.1x, така и автентифициращ метод (MD5, TLS, TTLS И др.). Автентифициращи сървъри Тестваните 802.1x съвместими RADIUS сървъри на Funk, Microsoft, HP и Interlink. Те варират в три основни области: поддържана ОС, метод на EAP автентификация и поддръжка на back-end потребителска база данни. Няма сървър който да поддържа всички тези функции в стандартно продаваните конфигурации. kare Безжична сигурност с 802.1x Диаграмата показва как би трябвало да работи процесът по постигане на 802.1x безжична сигурност Стъпки за 802.1x автентификация Безжичният клиент изпраща заявка за автентификация до безжичното устройство за достъп (AP) или до комутатор, поддържащ 802.1x . Препоръчва се обновяване на NDIS драйверите, което ще осигури правилно протичане на процеса. Безжиният AP или 802.1x комутаторът препакетират автентифициращата заявка, за да я изпратят към RADIUS сървъра. Проверете дали вашият RADIUS сървър е съвместим със стандартите EAP и 802.1x. RADIUS сървърът проверява заявката и може да упълномощи друг автентификационен сървър или да попита директно автентифициращата БД. Ако достъпът е одобрен, RADIUS сървърът информира безжичното устройство за достъп или 802.1х комутатора. Те от своя страна информират безжичния клиент. Препоръчва се да се провери дали WEP протоколът е активиран в този AP, тъй като не всички клиенти се синхронизират правилно. Схема Автентифцираща база данни Windows NT SAM база данни със зашитни символи (token) Active Directory текстов файл Автентификационен сървър комутатор/ рутер 802.1x съвместимо устройство за достъп Принтер Безжични клиенти LAN клиенти

(02.07.2002)

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Безжичната LAN сигурност - заплахи и пробиви "



    

© Ай Си Ти Медиа ЕООД 1997 - 2012 съгласно общи условия за ползване