Протокол 802.1X: контроль доступа в сеть по портам

Протокол 802.1X – надстройка для всех протоколов контроля доступа 2 уровня, включая Ethernet и WLAN. Он предназначен для обеспечения обобщенного механизма аутентификации при доступе в сеть и предусматривает следующий набор элементов:

· аутентификатор. Сетевое устройство, осуществляющее поиск других объектов для аутентификации; для WLAN это может быть AP;

· соискатель. Объект, которому требуется доступ. В случае с WLAN это может быть рабочая станция;

· сервер аутентификации. Источник служб аутентификации. 802.1X разрешает централизацию этой функции, поэтому данный сервер является, например, сервером RADIUS;

· сетевая точка доступа. Точка присоединения рабочей станции к сети. По сути, это порт на коммутаторе или концентраторе. В беспроводной технологии является связью между рабочей станции и точкой доступа;

· процесс доступа через порт (PAE). PAE – это процесс, выполняющий протоколы аутентификации. PAE есть как у аутентификатора, так и у соискателя;

· расширяемый протокол аутентификации (EAP). Протокол EAP (определен в стандарте RFC 2284) представляет собой протокол, используемый при обмене аутентификационными данными. Поверх EAP могут работать и другие протоколы аутентификации более высокого уровня.

Использование протокола 802.1X позволяет применить более надежный механизм аутентификации, нежели возможности, доступные в 802.11x. При использовании совместно с сервером RADIUS становится возможным централизованное управление пользователями.
Взаимная аутентификация является необязательной относительно 802.1X, и, таким образом, множество инсталляций по умолчанию будет открыто для атак перехватом. 802.1X также предусматривает одноразовую аутентификацию (в начале сеанса). Следовательно, если злоумышленник завладеет MAC-адресом легальной рабочей станции, он получит возможность захватить сеанс и работать в сети WLAN под видом одного из легальных пользователей.

Вопросы безопасности беспроводных соединений

Риски, связанные с использованием сетей WLAN, варьируются от прослушивания до направленных внутренних атак и даже атак, нацеленных на внешние сайты.

Обнаружение WLAN

NetStumber – утилита, которая работает в операционных системах семейства Windows и может использоваться совместно со спутниковым навигатором (ресивером глобальной системы позиционирования, GPS) для обнаружения беспроводных сетей WLAN. Она идентифицирует SSID сети WLAN, а также определяет, используется ли в ней WEP.

Обнаружить сети WLAN не составит особого усилия во время обхода нужного района или поездки по городу, обследование офисного здания с переносным компьютером в руках. Внешняя антенна не является необходимой, однако помогает расширить диапазон обнаружения, которым обладают утилиты.

Прослушивание

Беспроводные сети позволяют соединять с физической сетью компьютеры, находящиеся на некотором расстоянии от нее, как если бы эти компьютеры находились непосредственно в сети. Можно подключиться к беспроводной сети организации, располагающейся в здании, человеку, сидящему в машине на стоянке рядом с ним.

Даже при надежной аутентификации, которую должны проходить все пользователи для доступа к секретным файлам и системам, злоумышленник может без труда добыть секретные сведения посредством пассивного прослушивания сети. Атаку посредством пассивного прослушивания практически невозможно обнаружить.

Активные атаки

Преодоление периметра сетевой защиты организации, где размещают большую часть средств безопасности (межсетевые экраны, системы обнаружения вторжений и т. д.). Расположенные внутри периметра системы, как правило, защищены в гораздо меньшей степени.
Вместо проведения внутренних атак злоумышленник может использовать сетевое соединение для атаки извне.

Рис. 3. Атака на внешние системы

Тогда организация становится источником атакующего трафика, нацеленного на другую компьютерную систему.

Злоумышленник может располагаться где угодно в радиусе действия беспроводной сети. Посредством атак изнутри злоумышленник может обходить стороной механизмы защиты большей части организаций, те механизмы, которые использовались бы для отслеживания действий злоумышленников.