IEEE 802.1X
Author
Albert FloresIEEE 802.1X je v informatice název protokolu, který umožňuje zabezpečení přístupu do počítačové sítě. Pokud se klient (počítač) připojí k přípojnému bodu (UTP kabelem do síťového portu u switche, ale i k bezdrátovému přístupovému bodu u Wi-Fi), je po něm pomocí IEEE 802.1X vyžadována autentizace (např. uživatelské jméno a heslo). Přípojný bod blokuje veškerý ostatní datový provoz klienta do té doby, než je úspěšně autentizován. Pro řízení autentizace je u klienta používán suplikant („prosebník“), u přípojného bodu je vyžadována dodatečná podpora (tj. switch s managmentem).
Využití 802.1X
Protože v minulosti měly k počítačům přístup pouze zodpovědné a speciálně vyškolené osoby, nebyla bezpečnost počítačových sítí prioritou. Situace se změnila s pronikáním počítačů mezi širokou veřejnost. +more 802. 1X zabraňuje neautorizovaným osobám v přístupu k síťové komunikaci, aniž by bylo nutné všechna připojená zařízení fyzicky autorizovat. Uplatní se i v bezdrátových sítích, kde je fyzické zabezpečení v podstatě nemožné a volné připojení by mohlo být snadno zneužito.
Princip činnosti 802.1X
Schema 802. +more1X Pokud se uživatel připojí na síťový port, má blokovanou veškerou komunikaci kromě EAP protokolu, který zajišťuje autentizaci. Ta proběhne takto:.
# klient se připojí k přípojnému bodu #* přípojným bodem může být například switch nebo bezdrátový přístupový bod (AP) # přípojný bod akceptuje pouze autentizační EAP rámce #* ostatní (datový) provoz od klienta je blokován # klient odešle autentizační informace pomocí EAP protokolu #* autentizaci řídí u klienta speciální nástroj, tzv. suplikant („prosebník“) # přípojný bod přepošle žádost RADIUS serveru # na RADIUS serveru proběhne ověření uživatele #* pokud je uživatel lokální, proběhne jeho ověření přímo na RADIUS serveru #* pokud uživatel lokální není, proběhne žádost o autentizaci přes strukturu RADIUS serverů až k uživatelově domovské síti # o výsledku autentizace je informován přípojný bod, který v případě úspěchu odblokuje klientovi datový provoz
Výhody a nevýhody
Výhody: * blokování neautorizovaných osob v síti nebo osob, které mají z určitých důvodů přístup k síti zakázaný (šíření virů, spam…). * v kombinaci s dalšími technologiemi je možné neautorizovaným uživatelům vytvořit prostředí karantény, kdy je většina síťových služeb těmto uživatelům nedostupná a k dispozici jsou pouze prostředky např. +more k odvirování pc, k vytvoření uživatelského účtu, se kterým pak bude uživatel vpuštěn do sítě apod.
Nevýhody: * Počítač, který je připojený na neautorizovaný port, nemá k síti přístup. To je velká nevýhoda pro vzdálenou správu počítače i když existují metody, jak se tomuto opatření vyhnout.
Je nutné poznamenat, že 802. 1X kromě řízení přístupu k portům počítačové sítě nenabízí žádné další zabezpečení. +more Pokud se tedy útočník dostane přes tuto ochranu do sítě, která již není jinak chráněná, není jeho pohyb v síti již nijak omezován.
Implementace
Windows XP i Windows Vista podporuje 802. 1X pro všechna síťová připojení. +more Windows 2000 podporuje 802. 1X až s posledním service packem. Pro ostatní verze, které nepodporují 802. 1X v základní verzi (i pro některé handheldy), lze použít programy třetích stran, například SecureW2 802. 1X client od Juniperu.
Pro Linux vytvořil projekt Open1X open source klienta, Xsupplicant. Obecnější wpa supplicant může být použit nejen pro drátové, ale také pro bezdrátové připojení IEEE 802. +more11.
Související články
Standardy pro bezdrátové připojení IEEE 802.11.
Externí odkazy
[url=http://www. ieee802. +moreorg/1/pages/802. 1x. html]IEEE stránka o 802. 1X[/url], ieee802. org ** IEEE standardy: [url=http://standards. ieee. org/getieee802/download/802. 1X-2001. pdf]stránka downloadu 802. 1X-2001[/url] , standards. ieee. org * [url=http://www. interlinknetworks. com/resources. htm]Úvod do 802. 1X pro bezdrátové sítě[/url], interlinknetworks. com * [url=https://web. archive. org/web/20070811132042/http://hostap. epitest. fi/wpa_supplicant/]Linux WPA/WPA2/IEEE 802. 1X Supplicant[/url], hostap. epitest. fi * [url=http://open1x. sourceforge. net/]stránky projektu Open1X[/url], open1x. sourceforge. net * [url=http://www. techrepublic. com/article/ultimate-wireless-security-guide-microsoft-ias-radius-for-wireless-authentication/]konfigurace RADIUS serveru pro bezpečnou bezdrátovou síť za použití 802. 1x[/url], techrepublic. com * [url=http://www. techrepublic. com/article/ultimate-wireless-security-guide-self-signed-certificates-for-your-radius-server/]Jak si podepsat RADIUS pro bezpečné použití s 802. 1x PEAP nebo EAP-TTLS autentifikací[/url], techrepublic. com * [url=https://web. archive. org/web/20070813092312/http://www. mycohq. com/2006/02/freeradius-openldap-windows-xp-and. html]Konfigurace[/url], mycohq. com, popis FreeRADIUS * [url=https://web. archive. org/web/20100412112606/http://wire. cs. nthu. edu. tw/wire1x/]WIRE1x[/url], wire. cs. nthu. edu. tw * [url=http://www. microsoft. com/downloads/details. aspx. familyid=05951071-6B20-4CEF-9939-47C397FFD3DD&displaylang=en]Použití IEEE 802. 1X v prostředí drátových sítí Microsoft Windows[/url], microsoft. com.