Autentificare în rețea În practică, înregistrările computerizate de la A la Z

Autentificare rețea în practică

Standardul IEEE 802.1x autentificare de rețea adoptat recent este susținută pe scară largă de către producătorii de echipamente de rețea și software-ul. Exemple de punere în aplicare a acestei tehnologii în LAN, precum și principalele sale componente - protocolul RADIUS și PAM - în centrul atenției noastre.

Astfel, protocolul PPP a fost inițial folosit pentru a conecta utilizatorii de la distanță, așa că a trebuit să aibă mecanisme de autentificare. sprijinit inițial doar transferul numelui de utilizator sau parola într-o formă necriptat, care nu îndeplinesc cerințele moderne de securitate a rețelei.

Recent, un nou mecanism de autentificare în mod colectiv ca EAP (Extensible Authentication Protocol) au fost dezvoltate pentru protocolul. PAM a fost creat în vederea eliminării mecanismelor de autentificare private și diseminarea de abordări standardizate - scheme, cum ar fi „provocare-răspuns“ (provocare-răspuns) și infrastructura bazată pe chei publice și certificate de utilizator. Standardizarea mecanismelor de EAP ne-a permis să facă procesul de autentificare este transparent pentru serverele de acces de la diferiți producători. De exemplu, atunci când un utilizator se conectează la serverul de acces de la distanță și utilizarea protocolului PPP-EAP pentru a se autentifica la serverul de acces nu trebuie să știe sau să sprijine mecanisme specifice și algoritmi de autentificare, sarcina sa în acest caz - numai pentru a transfera pachete EAP-Mesaj RADIUS-server, care este de fapt autentificarea se face. În acest caz, serverul de acces acționează ca intermediar între client și server RADIUS, a cărui sarcină este de a transfera EAP-mesaje între ele.

standardul 802.1x descrie o procedură pentru serverul de acces EAP-un mesaj (de exemplu, un comutator sau un punct de acces fără fir) într-un fir sau fără fir Ethernet-conexe. În acest caz, standardul 802.1x EAPsoobscheniya pachete direct la Ethernet rame fără a solicita transferul PPP. Acest lucru se datorează faptului că PPP este utilizat în multe cazuri nu este necesar - de exemplu, la conectarea Ethernet-statie de lucru nu acceptă protocolul TCP / IP, sau, în cazul în care utilizarea PPP este redundantă.

În standardul 802.1x definește trei elemente de bază:

  • solicitant - un utilizator care are nevoie de o autentificare în rețea;
  • server de autentificare - de obicei, RADIUS, care produce autentificarea reală;
  • Authenticator - dispozitivul de rețea situată între solicitant și serverul de autentificare și oferă acces la rețea, de exemplu, un punct de acces sau Ethernetkommutator.

Cheia aici este că dispozitivele de rețea - autentificatori - poate fi destul de simplu, deoarece punerea în aplicare a funcțiilor 802.1x, acestea necesită costuri minime de hardware, în timp ce întreaga inteligența este concentrată în RADIUS-server. Acest sistem are beneficii suplimentare și vă permite să organizați integrarea strânsă de gestionare a echipamentelor de rețea și software-ul de rețea, ceea ce facilitează foarte mult gestionarea sistemelor informatice într-o întreprindere mare. Transfer Protocol EAP-mesaje în standardul 802.1x este numit EAPOL (EAP incapsularea peste LAN) și sunt definite în prezent pentru Ethernet LAN și fără fir IEEE 802.11 serie de standarde și LAN folosind tehnologii Token Ring și FDDI.

Schema de protocol EAPOL este destul de simplu. Este posibil să se distingă următoarele moduri de bază:

  1. Autentificatorul trimite cererea de autentificare (EAP-Cerere / Identitate) solicitant odată ce stabilește că o parte din Ethernetportov sa trecut la starea activă (legătură activă), adică este conectat la adaptorul de curent alternativ. Prin urmare, dacă dezactivați stația de client, care a trecut deja de autentificare, și reconectați la portul de rețea, va trebui să treacă din nou autentificare.
  2. Solicitantul trimite un mesaj / răspuns (EAPResponse / identitate) la autentificatorul, pe care apoi le transmite la serverul de autentificare (RADIUS).
  3. Serverul de autentificare trimite un pachet ca răspuns la cerere (provocare) la autentificatorul, care apoi reîmpacheteaza de IP de transport și transmite EAPOL solicitant. În diverse scheme de autentificare, numărul de astfel de mesaje pot varia. PAE este susținută atât de autentificare client-side, și reciproc „puternic“ client și server de autentificare, dar numai ultima opțiune considerate acceptabile pentru utilizarea în rețele fără fir.
  4. Solicitantul răspunde cererii în conformitate cu algoritmul selectat și îl transmite autentificatorul, pe care îl transmite serverul de autentificare.
  5. În cazul în care solicitantul furnizează răspunsul corect la cerere, serverul trimite un mesaj solicitantului cu autentificarea cu succes. În această situație, autentificatorul deschide accesul clientului la rețeaua LAN, care poate depinde de parametri suplimentari pentru a trece la el RADIUS server, de exemplu, numărul VLAN sau o anumită calitate a serviciului.

Astfel, utilizarea de autentificare de rețea permite utilizatorului să furnizeze un anumit număr de VLAN-uri sau nivelul de calitate a serviciilor, indiferent de punctul de racordare la rețeaua LAN a companiei. Acesta oferă atât mobilitatea utilizatorilor și respectarea continuă cu profilul de securitate al rețelei - chiar și în cazul în care cablurile de rețea sunt amestecate accidental în sus, utilizatorul nu va putea să intre în VLAN la care accesul este interzis să-l.

Comutator 3Com SuperStack 3 Comutatorul 4400 este folosit de noi pentru a construi o rețea LAN cu autentificare de rețea pentru protocolul 802.1X

Având în vedere realizarea unui protocol de autentificare în rețea IEEE 802.1x, dezvăluie baza protocolului RADIUS caracteristici, care este una dintre principalele componente ale sistemului.

Raza în centrul

Protocolul RADIUS este adesea utilizat într-o varietate de dispozitive de rețea (routere, rack-uri de modem, comutatoare, etc.) pentru autentificarea utilizatorilor. Principalul motiv pentru aceasta este faptul că dispozitivele de rețea sunt, de obicei resurse hardware foarte limitate și nu pot fi stocate în memoria de informații cu privire la un număr mare de utilizatori.

Protocolul RADIUS oferă utilizatorului de management centralizat, ceea ce este foarte important în multe cazuri. De exemplu, internetprovaydery pot avea zeci sau chiar sute de mii de utilizatori, și posteze cât mai multe informații în memoria oricărui dispozitiv de rețea este pur și simplu imposibil. În același timp, numărul de utilizatori pot fi variate în mod constant pe tot parcursul zilei, ziua sau ora. Prin urmare, este necesar să existe o bază de date centralizată, care stochează informații despre toți utilizatorii. Trebuie remarcat faptul că protocolul RADIUS este susținută de aproape toți producătorii de echipamente de rețea, în timp ce alte protocoale de autentificare pentru utilizatorii de la distanță care nu au primit sprijin de masă de la producători.

protocolului RADIUS are, de asemenea, mecanisme integrate pentru protecția unui număr de atacuri de rețea, inclusiv utilizarea de sniffers de rețea pentru a obține parolele utilizatorilor. Principalii concurenți din domeniul de autentificare RADIUS telcomandă protocolul TACACS + și LDAP. protocolul LDAP nu are inițial nici un mijloc de protecție împotriva parolei sniffing, și, deși protocolul TACACS + (spre deosebire de RADIUS) criptează tot traficul, nu doar parola utilizatorului, de asemenea, nu este fără un număr de puncte slabe.

RADIUS Structura mesajului de protocol este prezentat în figura (RFC 2138), precum și valorile și câmpul de decodificare SODE -. In tabelul de mai jos figura.

Identificator de câmp de lungime de un octet este setat RADIUS-client ca răspuns la o cerere de RADIUS-server. Atributele câmp conține numele de utilizator și parola, și, de asemenea, vă permite să trimiteți informații suplimentare despre client de la dispozitivele de rețea RADIUS-server, care sunt conectate direct utilizatorilor.

Hai să vorbim despre bază modurile protocolului RADIUS de operare: o cerere de acces (Access-Request), în care numele de utilizator transmise și parola, după care acesta este însoțit de o permisiune de transmitere mesaj sau refuzul de acces (Acceptare, Access-Reject). Pentru comoditate vom numi părțile implicate în procesul de autentificare, „client“ și „server“. Serverul conține o bază de date de utilizatori și autentificarea lor conduite.

Pentru a trece autentificarea pe serverul clientului creează o cerere de acces (Access-cerere) și o trimite la RADIUS-server, atributele de câmp ale mesajului ar trebui să includă cel puțin un nume de utilizator și o parolă. câmp de identificare a cererii de acces este, de asemenea, creat de către client. Acest proces nu este reglementat în protocolul RADIUS, dar este de obicei implementat ca un câmp este un contor simplu, care este incrementat cu 1 pentru fiecare nouă cerere. Cererea de acces conține o solicitare de 16 biți câmp authenticator (Request autentificator), care este generat aleator. Acest mesaj nu este, în general protejat, criptat atribuie numai câmpurile care conțin numele de utilizator și parola. Pentru a face acest lucru, clientul și serverul au un secret comun. Shared câmp authenticator secrete, împreună cu cererea este utilizată pentru a calcula valoarea de 16 biți (folosind funcția hash MD5), care este apoi logidinyaetsya din cauza cu parola de utilizator.

După primirea cererii de acces controalele RADIUS-server dacă are secretul partajat clientului, și, dacă nu, atunci mesajul este pur și simplu aruncate fără notificare către client. Deoarece serverul are, de asemenea, un secret partajat cu un client, se poate calcula numele necriptate și parola de client (prin procedura inversă celei descrise mai sus). Apoi, numele și parola sunt validate în baza de date de utilizator.

În cazul verificării cu succes a numelui de utilizator și parola, serverul creează un acces permisiune mesaj, și îl transmite către utilizator, în caz contrar el primește un mesaj despre refuzul accesului. Ambele mesaje au același număr de identificare egal cu numărul de identificare în cererea de acces client. răspuns Domeniul authenticator (Response Authenticator) se calculează prin aplicarea funcției hash MD5 peste câmpuri și câmpuri de solicitare Authenticator de pachete de permisiune de acces.

Adăugarea de utilizatori în Active Directory

În cazul în care clientul primește un mesaj de răspuns de la server, acesta verifică dacă cererea anterioară trimise la numărul de ID-ul, care este specificat în mesaj, iar dacă nu, aceasta este pur și simplu aruncate. Clientul decodează răspunsul câmp autentificatorului folosind procedura inversă la cele de mai sus, și compară rezultatul cu câmpul autentificatorului în cerere. Acest lucru asigură client reciproc și controale de server și face aproape imposibil de atacurile hacker-ilor, schimbarea bazate pe server.

Și acum costă mai mult pentru a spune despre punerea în practică a sistemului de autentificare de rețea 802.1X.

Configurarea 802.1X

Pentru a pune în aplicare schema de autentificare 802.1X de rețea ca RADIUS server ispolzoenta - Windows XP (pe punerea în aplicare a 802.1x-clienti pe alte sisteme de operare, a se vedea caseta, p. 38.), precum și un server de acces - Comutare 3Com SuperStack 3 Switsh 4400.

În continuare, se adaugă câțiva utilizatori care accesează rețeaua va fi rezolvată (Fig. Stânga). Odată ce utilizatorii sunt create, este necesar să se stabilească faptul că parolele lor sunt salvate cu așa-numita „criptare inversă“ (criptare reversibilă). Pentru a face acest lucru, utilizatorii trebuie să selectați fila proprietăți și setați contul câmp stochează parola folosind criptarea reversibilă. După aceea, este imperios necesar să reintroduceți parola pentru acest utilizator.

Setați tipul de autentificare: MD5 sau certificat

Rețineți că, în RFC 2865 mandate utilizarea de 16 caractere în „termeni generali“. Astfel, pentru a atinge entropia (entropia în teoria informației reflectă cantitatea de informații în secvența de caractere), egală cu 128 de biți, fiecare caracter trebuie să aibă o entropie separată de 8 biți.

Cu toate acestea, în cazul în care butonul de selectare a caracterului este restricționat introdus pe tastatură, entropia personajului 8 biți este redus la 5,8 biți. Prin urmare, pentru a atinge un nivel de entropie de 128 de biți, trebuie să utilizați cel puțin 22 de caractere.

Configurarea Switch 3Com 4400 pentru a lucra cu 802.1X

Verificăm activitatea serviciilor de autentificare pe PC-ul client

Ultimul pas este de a configura Switch 3Com 4400 pentru a lucra cu RADIUS. Pentru aceasta, conectați la portul consolă al dispozitivului și de a folosi un program aparțin terminalului trebuie să fie în modul linie de comandă, introduceți textul submeniul Security / Radius și rulați comanda de setare).

Cu ajutorul prerogativelor de verificare jurnal de evenimente

Intră într-o rețea

Dacă toate setările au fost de succes, introduceți numele de utilizator și parola de acces la rețea

Acum, dacă nu au fost greșeli la un moment dat, atunci când încearcă să acceseze resursele rețelei, un economizor de ecran special va apărea pe mașina client (Fig. Mai sus), își propune să introducă un utilizator nume / domeniu și parola. În cazul în care acești parametri sunt introduse corect, utilizatorul are acces la resursele rețelei. Vă rugăm să fiți conștienți de faptul că, chiar și cu termen scurt deconectați cablul de rețea de la portul de comutare, și conectați-l din nou, utilizatorul va trebui să re-pass de autentificare de rețea.

Odată ce utilizatorii au autentificat cu succes la rețea folosind protocolul 802.1x, puteți merge la numărul VLAN automat de reglare și calitatea parametrilor serviciului pentru fiecare utilizator.

Caracteristici personalizabile Auto * QoS / VLAN

Acum, înapoi la politicile definite în setările serviciului IAS. După cum sa menționat deja, cele două politici au fost definite - vlan1 și demo. Aceste nume nu sunt întâmplătoare, pentru că noi vrem ca oamenii care cad sub incidența politicii vlan1, s-au trezit în mod automat într-un număr de rețea LAN virtuale 1. În acest caz, în proprietățile politicii în secțiunea Advanced, trebuie să adăugați următorii parametri și setați valorile lor, care sunt în mod automat a reveni comuta RADIUS-serverul de la autentificarea utilizatorului cu succes:

  • de tip tunel mediu - 802;
  • Tunnel-Pvt Group ID - 1 (numărul VLAN);
  • Tunnel-Type - (VLAN).

Ultimul pas este crearea de autentificare, nu numai utilizatorii prin intermediul unui server RADIUS, dar administratorii conectați la switch prin portul consola sau Web / Telnet. Pentru a face acest lucru, trebuie să activați autentificarea prin intermediul RADIUS (permite auth RADIUS) în setările de comutare (securitate / dispozitiv).

Mai mult, în Active Directory este necesar pentru a crea un utilizator care este permis accesul la gestionarea dispozitivului, de exemplu, admin, și de a determina pentru el politica IAS, care trebuie să fie setat la RADIUS server pentru a reveni comutatorul la succes opțiunea de autentificare furnizor Atribut specific. Proprietățile acestui câmp trebuie setat codul producătorului 43 (3Com), atribuie numărul (1) și o valoare zecimală a acestui atribut la 1 la 3:

  • Monitor (1) permite utilizatorului să monitorizeze unitățile de comutare;
  • Managerul (2) face posibilă pentru a produce o schimbare în unitățile de comutare individuale;
  • Administrator (3) oferă utilizatorului acces complet la setările de comutare.

Acum, chiar și atunci când este conectat la un comutator se va face prin portul consola de autentificare administrator pe rețea printr-un RADIUS server.

În general, se poate afirma că, odată cu introducerea tehnologiei 802.1x administrator de sistem sa devina realitate vis - acum nu este necesar să se stabilească setările de rețea pentru sute sau chiar mii de utilizatori manual. În acest caz, pentru a transfera utilizatorul de la un VLAN la altul poate fi un clic al mouse-ului fără a fi nevoie de a modifica setările dispozitivului. Și în afară de faptul că protocolul 802.1x contribuie la creșterea semnificativă a nivelului de securitate a rețelei în sine, protejându-l împotriva accesului neautorizat.