Network Authentication На практика компютърни записи от А до Я
Network Authentication на практика
Наскоро приетият стандарт удостоверяване на IEEE 802.1x мрежа е широко подкрепяна от производителите на мрежово оборудване и софтуер. Примери за прилагане на тази технология в локалната мрежа, както и основните му компоненти - Протокола RADIUS и EAP - в центъра на нашето внимание.
По този начин, PPP протокол първоначално е бил използван за свързване на отдалечени потребители, и затова той трябва да има механизми за удостоверяване на потребителя. Първоначално поддържа само прехвърлянето на вашето потребителско име или парола в нешифрован вид, който не отговаря на съвременните изисквания на мрежовата сигурност.
Наскоро нови механизми за удостоверяване събирателно EAP (Extensible Authentication Protocol) са разработени за протокола. EAP е създаден с оглед на премахването на частните механизми за удостоверяване и разпространение на стандартизирани подходи - схеми като "отговор на предизвикателство" (отговор на предизвикателство) и инфраструктура, базирана на публични ключове и за потребител. Стандартизиране на механизми за EAP ни позволи да направим процеса на удостоверяване е прозрачен до сървърите на достъп от различни производители. Така например, когато даден потребител се свързва с отдалечен сървър за достъп и използване на ПЧП EAP механизъм протокол, за да удостовери самоличността си, за да достъп до сървър не трябва да се знае, или в подкрепа на конкретни механизми и алгоритми за автентификация, неговата задача в този случай - само за прехвърляне на пакети EAP-Съобщението RADIUS сървър, който всъщност е удостоверяване се извършва. В този случай, сървъра за достъп действа като посредник между клиента и сървъра RADIUS, чиято задача е да се прехвърлят EAP-съобщения между тях.
802.1x стандарт описва процедура за EAP-Сървър съобщ достъп (например, преминаване или безжична точка за достъп) в кабелна или безжична Ethernet Свързани. В този случай, стандартната 802.1x EAPsoobscheniya пакети директно към Ethernet рамки без да се прилага за прехвърляне на ПЧП. Това се дължи на факта, че ПЧП се използва в много случаи не е необходимо - например, когато се свързвате Ethernet-работна станция не поддържа TCP / IP протокол, или в случаите, когато използването на ПЧП е излишно.
В стандарта 802.1х определя три основни елемента:
- Кандидатът - потребител, който се нуждае от удостоверяване на мрежата;
- удостоверяване на сървъра - обикновено RADIUS, която произвежда действителната удостоверяване;
- удостоверяващ - устройството за мрежа, разположена между заявителя и сървъра за удостоверяване и осигурява достъп до мрежата, например точка за достъп или Ethernetkommutator.
Ключът тук е, че мрежовите устройства - authenticators - може да са доста прости, тъй като изпълнението на 802.1x функции те изискват минимални разходи за хардуер, а цялата интелигентност е концентрирана в RADIUS сървър. Тази схема има допълнителни ползи и ви позволява да организирате тясна интеграция на управлението на мрежово оборудване и мрежови софтуер, който значително улеснява управлението на информационните системи в едно голямо предприятие. Протокол за трансфер на EAP-съобщенията в стандарта 802.1x се нарича EAPOL (EAP капсулиране през локална мрежа) и в момента е определено за Ethernet LAN и безжичен IEEE 802.11 серия от стандарти и локалната мрежа с помощта на технологии, Token Ring и FDDI.
Схема на EAPOL протокол е достатъчно проста. Възможно е да се разграничат следните основни режими:
- Удостоверител изпраща искане за удостоверяване (EAP-Искане / Identity) заявител с щом установи, че някои от неговите Ethernetportov премине към активно състояние (линк активна), т.е. той е свързан с AC адаптер. Ето защо, ако забраните на клиента станция, която вече е преминал на автентичността и свържете към порта мрежа, ще трябва да премине удостоверяване отново.
- Заявителят изпраща съобщение / отговор (EAPResponse / Identity), за да Удостоверител, който след това ги предава на сървъра за удостоверяване (RADIUS).
- Сървърът за удостоверяване изпраща пакет в отговор на искането (предизвикателство) към Удостоверител, които след това да го преопакова от IP-транспорт и предава EAPOL кандидат с. В различни схеми за удостоверяване, броят на такива съобщения може да варира. ИП се поддържа от двете страна на клиента за удостоверяване, и взаимно "силен" удостоверяване на клиента и сървъра, но само последния вариант се счита приемлива за използване в безжични мрежи.
- Заявител в отговор на молбата в съответствие с избрания алгоритъм и го предава на Удостоверител който го препраща към сървъра на удостоверяване.
- В случай, че кандидатът предвижда правилния отговор на искането, сървърът изпраща съобщение до заявителя с успешна автентикация. В тази ситуация, Удостоверител отваря клиентски достъп до локалната мрежа, която може да зависи от допълнителни параметри, за да премине, за да го RADIUS сървър, например, броят на VLAN или определено качество на услугата.
По този начин, използването на удостоверяване на мрежата позволява на потребителя да осигури определен брой VLANs или нивото на качеството на услугите, независимо от мястото на присъединяване към корпоративната локална мрежа. Тя осигурява едновременно на мобилността на потребителите и продължаващото съответствие с профила на сигурността на мрежата - дори и ако кабелите за мрежата случайно смесени, потребителят няма да може да влезе в VLAN, на които е отказан достъп до него.
Включи 3Com SuperStack 3 Switch 4400 се използва от нас, за да се изгради локална мрежа с удостоверяване на мрежата за 802.1X протокол
Като се има предвид реализирането на мрежа протокол за удостоверяване IEEE 802.1x, разкриват основните функции RADIUS протокола, който е един от основните компоненти на системата.
Радиусът в центъра на
Протоколът RADIUS често се използва в най-различни мрежови устройства (рутери, модем стелажи, ключове и т.н.), за удостоверяване на потребителите. Основната причина за това е, че мрежовите устройства обикновено са много ограничени хардуерни ресурси и не могат да се съхраняват в паметта на информация за голям брой потребители.
Протоколът RADIUS осигурява централизирано управление на потребителите, което е много важно в много случаи. Например, може да се наложи internetprovaydery десетки или дори стотици хиляди потребители, и да публикувате най-много информация в паметта на всяка мрежа устройство е просто невъзможно. В същото време броят на потребителите могат да бъдат постоянно варира през целия ден, ден или час. Ето защо е необходимо да има централизирана база данни, която съхранява информация за всички потребители. Трябва да се отбележи, че протоколът за RADIUS се поддържа от почти всички производители на мрежово оборудване, докато други протоколи за удостоверяване в отдалечените потребители не са получили масова подкрепа от страна на производителите.
RADIUS протокола също има вградени механизми за защита на няколко мрежови атаки, включително и използването на мрежата за подслушване, за да се получи паролите на потребителите. Основните претенденти в областта на дистанционно RADIUS удостоверяване са протокола TACACS + и LDAP. LDAP протокол първоначално не разполага със средства за защита срещу досетят за паролата и въпреки че протоколът TACACS + (за разлика от RADIUS) криптира целия трафик, а не само паролата на потребителя, той също не е без редица слабости.
RADIUS структура протокол съобщение е показан на Фигура (RFC 2138), и ценности и поле за декодиране на Sode -. В таблицата по-долу на фигурата.
Невярно Identifier дължина един байт е настроен RADIUS-клиент в отговор на искане за RADIUS сървър. Атрибути поле съдържа потребителското име и паролата, а също така ви позволява да изпращате допълнителна информация за клиента от мрежовите устройства, RADIUS-сървър, които са свързани директно към потребителите.
Нека поговорим за основните видове RADIUS протокола на работа: Искане за достъп (Access-заявка), в която се предава потребителско име и парола, след което той е придружен от разрешение за предаване на съобщения или отказ за достъп (Access-Accept, Access-Отхвърляне). За удобство ще наричаме, участващи в процеса на установяване на истинността на "клиента" и "сървър" страните. Сървърът съдържа база данни на потребителите и тяхното поведение удостоверяване.
За да се премине на истинността на сървъра на клиента създава заявка за достъп (Access-Request) и го изпраща на RADIUS сървър, полеви атрибути на съобщението трябва да включват поне потребителско име и парола. полево отчитане на искането за достъп е създаден също от клиента. Този процес не е регламентирана в протокола на RADIUS, но това обикновено се реализира като поле е прост брояч, който се увеличава с 1 при всяко ново искане. Заявка за достъп съдържа искане за 16-байт поле удостоверяващ (Заявка Authenticator), която е произволно генериран. Това съобщение по принцип не е защитен, криптиран приписват само полета, съдържащи потребителско име и парола. За да направите това, на клиента и сървъра имат общ тайна. Споделено тайна поле удостоверяващ, заедно с искането се използва за изчисляване на стойността на 16-байт (с помощта на хеш функцията MD5), която след това се дължи logidinyaetsya с паролата на потребителя.
След получаване на искане за достъп проверките на RADIUS-сървър, дали той има споделена тайната на клиента, а ако не, тогава съобщението е просто изхвърли без предизвестие на клиента. Тъй като сървърът също има споделена тайна с клиент, може да се изчисли на некриптиран име и парола на клиента (чрез процедура обратната на тази, описана по-горе). Тогава името и паролата се проверяват в базата данни на потребителя.
В случай на успешна проверка на потребителско име и парола, сървърът създава разрешение за достъп съобщение и го предава на потребителя, в противен случай той ще получи съобщение за отказ на достъп. И двете съобщения имат същия брой идентификатори равнява идентификатор номер в искането за достъп на клиента. Невярно удостоверяващ отговор (Response Authenticator) се изчислява чрез прилагане на хеш функция MD5 над полета и полета искане удостоверяващ разрешение за достъп до пакети.
Добавяне на потребители в Active Directory
Когато клиентът получава съобщение отговор от сървъра, той проверява дали по-рано заявката, изпратена до идентификационния номер, което е посочено в съобщението, и ако не, тя просто се изхвърля. Клиентът декодира отговор поле удостоверяващ, използвайки обратната процедура на по-горе, и сравнява резултата с поле удостоверяващ в искането. Това гарантира взаимното клиент и сървър проверки и го прави почти невъзможно да се хакерски атаки, заместване на сървър-базирани.
А сега по-скъпо да кажа за практическото изпълнение на удостоверяване схема 802.1X мрежа.
Конфигуриране на 802.1X
За изпълнение на 802.1X удостоверяване схема мрежа като RADIUS сървър ispolzoenta - Windows XP (за изпълнението на 802.1X-клиенти на други операционни системи, виж карето, стр 38..), Както и сървър за достъп - Превключете 3Com SuperStack 3 Switsh 4400.
След това добавете няколко потребители, които имат достъп до мрежата ще бъде решен (фиг. Ляв). След като потребителите са създадени, е необходимо да се установи, че паролите им се записват с така наречения "обратен криптиране" (обратимо кодиране). За да направите това, потребителите трябва да изберат раздела свойства и определени паролата за него поле Магазин чрез обратимо кодиране. След това, че е наложително да се възстанови въведете паролата за този потребител.
Определете типа на удостоверяване: MD5 или сертификат
Имайте предвид, че в RFC 2865 мандати използването на 16 символа в "Общите условия". По този начин за постигане на ентропията (ентропията в теорията на информацията отразява сумата на информация в последователност от символи), равна на 128 бита, като всеки символ трябва да има отделна ентропия 8 бита.
Въпреки това, в случаите, когато скалата за избор на символ е ограничено въведен от клавиатурата, ентропията на характера на 8-битов се намалява до 5.8 бита. Следователно, за да се постигне равнище на ентропия на 128 бита, трябва да използвате най-малко 22 знака.
Конфигуриране на 3Com Switch 4400 да работи с 802.1X
Ние проверяваме работата на удостоверяване услуги на клиентския персонален компютър
Последната стъпка е да конфигурирате 3Com Switch 4400 да работи с RADIUS. За това, да се свърже с конзола порта на устройството и да използвате принадлежат към един терминал програма трябва да бъде в режим на командния ред, въведете текст подменюто Security / Radius и изпълните командата Setup).
С помощта на регистъра на събитията проверка пълномощията
Влиза в мрежа
Ако всички настройки са били успешни, въведете потребителското име и паролата за достъп до мрежата
Сега, ако не бяха грешките на определен етап, когато се опитвате да получите достъп до мрежови ресурси, специална скрийнсейвър ще се появи на клиентската машина (фиг. По-горе), предлага да се въведе потребителското име / домейн и парола. Ако правилно се въвеждат тези параметри, потребителят получава достъп до мрежови ресурси. Моля, имайте предвид, че дори и с краткосрочни изключете мрежовия кабел от портът на превключвателя и го включете отново, потребителят ще трябва отново да мине удостоверяване на мрежата.
След като потребителите успешно са заверени с мрежата чрез 802.1x протокол, можете да отидете на броя на автоматично регулиране VLAN и качествените параметри на услугите за всеки потребител.
Персонализиране функции Auto * QoS / VLAN
Сега обратно към политиките, определени в настройките на МСС услуги. Както вече споменахме, са определени двете политики - vlan1 и демо. Тези имена не са случайни, защото искаме хората, които попадат в обхвата на политиката за vlan1, автоматично се оказаха в една виртуална LAN номер 1. В този случай, в имоти на тази политика, в секцията за напреднали, трябва да добавите следните параметри и определят своите ценности, които са автоматично върнете превключите RADIUS сървър при успешно удостоверяване на потребителя:
- Тунел-Среда - 802;
- Тунел-Pvt Група ID - 1 (VLAN номер);
- Тунел-Type - (VLAN).
Последната стъпка е създаването на удостоверяване, а не само за потребителите чрез RADIUS сървър, но администраторите свързват с преминаването през конзола вход или Web / Telnet на. За да направите това, трябва да активирате удостоверяване чрез RADIUS (активиране RADIUS удостоверяване) в настройките на превключвател (сигурност / на устройствата).
Освен това, в Active Directory, е необходимо да създадете потребител, който има право на достъп до управлението на устройството, например, администратор, и да определи за него да МСС политика, която трябва да се настрои на RADIUS сървър за да се върнете ключа върху Специфична Добър избор за удостоверяване на продавача Умение. Свойствата на тази област трябва да бъдат установени производител код 43 (3Com), атрибут номер (1) и десетична стойност на този атрибут от 1 до 3:
- Монитор (1) позволява на потребителя да следи ключа звена;
- Manager (2) дава възможност да се получи промяна в отделните комутационни звена;
- Administrator (3) дава на потребителя пълен достъп до настройките на превключване.
Сега, дори когато е свързан с преминаване ще бъде взето от администратор удостоверяване конзола пристанище в мрежата чрез RADIUS сървър.
Най-общо може да се каже, че с въвеждането на 802.1x технология системен администратор сбъдната мечта - сега това не е необходимо, за да настроите мрежовите настройки за стотици или дори хиляди потребители ръчно. В този случай, за да прехвърлите на потребителя от една VLAN към друг може да бъде едно кликване на мишката без да е необходимо да се променят настройките на устройството. И освен това, че протоколът за 802.1x помага значително да се повиши нивото на сигурност на самата мрежа, като го защитава от неоторизиран достъп.