Choć implementacje 802.1X wciąż dojrzewają, protokół ten już teraz można wykorzystać jako uniwersalny mechanizm kontroli dostępu do sieci LAN i WLAN.

O protokole 802.1X jako potencjalnie użytecznym narzędziu do bezpiecznego uwierzytelniania w sieciach mówi się od kilku lat. Koncepcja, która sprawdziła się w operatorskich sieciach dostępowych dial-up opartych na protokole PPP, idealnie wpasowała się w potrzeby środowisk WLAN. To właśnie dlatego wsparcie dla 802.1X jest już obecne w prawie wszystkich modelach "zwykłych" przełączników Ethernet.

Powszechna dostępność sprzętu obsługującego 802.1X oznacza, że bez większych wydatków technologię tę można z powodzeniem zastosować także w sieciach przewodowych. To stawia przed administratorami sieci zupełnie nowe możliwości - na tyle atrakcyjne, że warto poświęcić czas i środki (zwykle niezbyt duże), by bliżej przyjrzeć się tej technologii.

Po pierwsze i najważniejsze, protokół 802.1X działa w warstwie 2, bez poprawnego uwierzytelnienia niemożliwe jest więc skorzystanie z jakichkolwiek usług warstw wyższych. 802.1X oferuje przy tym znacznie więcej niż tradycyjne listy dostępowe na przełącznikach: bezpieczne przesyłanie danych uwierzytelniających między przełącznikiem a klientem oraz scentralizowane zarządzanie dostępem. Listy dostępowe mogą zresztą nadal działać niezależnie.

Po drugie, 802.1X pozwala ujednolicić proces uwierzytelniania i uniezależnić go od medium fizycznego; biorąc pod uwagę współistnienie sieci Ethernet i WLAN, to bardzo atrakcyjna możliwość. Po trzecie, dzięki solidnej architekturze bezpieczeństwa oraz elastyczności 802.1X może stać się fundamentem dla bardziej zaawansowanych usług/zabezpieczeń.

Jak działa 802.1X

Architekturę sieci, w której 802.1X spełnia rolę uniwersalnego mechanizmu uwierzytelniania, przedstawiono na rys. 1. Użytkownik próbujący włączyć się do sieci zostaje automatycznie skierowany do działającej na najbliższym przełączniku (lub stacji dostępowej WiFi) usługi kontroli dostępu (802.1X Access Server). Dołączana do sieci stacja wysyła do niej wstępne żądanie dostępu, wskazując, jakie metody bezpiecznego uwierzytelniania obsługuje. Szczegóły schematu "wstępnej konwersacji" są różne dla różnych protokołów uwierzytelniania w 802.1X.

Usługa na przełączniku odpowiada, nawiązując ze stacją wstępne połączenie szyfrowane tymczasowym kluczem, wykorzystując preferowaną przez siebie metodę uwierzytelniania (PAP, MS-CHAP, MS-CHAPv2, EAP-MD5, EAP-TLS, EAP-TTLS, PEAP, LEAP, a ostatnio także EAP-FAST). i żąda od klienta podania dodatkowych parametrów, takich jak adres MAC, login i hasło itp. W kolejnym kroku usługa kontroli dostępu przekazuje żądanie wraz z otrzymanymi parametrami do centralnego serwera uwierzytelniającego, zwanego AAA (Authentication, Authorization, Accounting). Ta część komunikacji odbywa się zwykle za pośrednictwem protokołu RADIUS (Remote Authentication Dial-In User Service).

Jeżeli serwer AAA (RADIUS) uzna, że udostępnione przez użytkownika dowody tożsamości są wystarczające z punktu widzenia zasobów, do których chce uzyskać dostęp, wysyła do przełącznika lub stacji bazowej WLAN wiadomość zezwalającą na dostęp. W tym momencie usługa kontroli dostępu nawiązuje szyfrowaną sesję ze stacją kliencką.

Jeśli zostało to przewidziane w regułach określających politykę dostępu (np. na podstawie adresu IP), serwer RADIUS może także zażądać od klienta dodatkowych dowodów na to, że ma on prawo do dostępu do określonych zasobów. Żądanie może być także przekazane dalej, np. do serwera LDAP, który może być źródłem informacji o tym, co klient może. Serwer RADIUS działa wtedy zwykle w trybie proxy. Serwer RADIUS może też być zintegrowany z przełącznikiem lub stacją bazową, co ma miejsce np. w urządzeniach Cisco Aironet z oprogramowaniem IOS.

Jeśli jednak serwer RADIUS uzna, że żądanie dostępu jest próbą ataku, wysyła do urządzenia dostępowego sygnał, by odciąć dostęp.

W sieci WLAN odłączenie nie oznacza oczywiście, że stacja, której próba dołączenia do sieci została odrzucona, nie może nasłuchiwać komunikacji innych stacji z urządzeniem dostępowym.

Z certyfikatem lub bez

Jednym z kluczowych dylematów podczas wdrażania 802.1X jest wybór odpowiedniej metody uwierzytelniania. Różnice w funkcjonalności i poziomie oferowanego bezpieczeństwa są tu niekiedy dość znaczne. W największym skrócie, wybór sprowadza się do odpowiedzi na pytanie, czy uwierzytelnienie ma się opierać na certyfikatach cyfrowych, czy na loginach i hasłach - tu bowiem decyduje poziom bezpieczeństwa i koszty wdrożenia (patrz ramka obok). Protokoły uwierzytelniania skompromitowane w sieciach WLAN (EAP-MD5, LEAP) w sieci przewodowej są raczej bezpieczne. Z drugiej strony, uzyskanie fizycznego dostępu do sieci LAN wcale nie jest bardzo trudne, co każe zachować ostrożność na wszelki wypadek.

Nie można jednak popaść w przesadę. Zastosowanie uwierzytelniania z podwójnym tunelowaniem - jak ma to miejsce w przypadku EAP-TTLS czy PEAP - może okazać się trudne z powodów wydajnościowych. A w konsekwencji także finansowych - być może trzeba będzie zakupić wydajniejszy sprzęt. Równoczesne logowanie się do sieci kilkudziesięciu czy kilkuset osób, np. o 8.00 czy 9.00 rano albo też po awarii zasilania, może być ponad siły przełącznika, stacji bazowej WLAN czy serwera uwierzytelniającego. Chodzi oczywiście o moc obliczeniową potrzebną do ustanowienia bezpiecznych tuneli.