Zabezpieczanie RADIUS-a

Wraz z systematyczną popularyzacją sieci bezprzewodowych coraz większego znaczenia nabiera wiedza dotycząca metod i zasad zabezpieczania przed atakami wykorzystującymi źle skonfigurowane systemy Wi-Fi.

Wraz z systematyczną popularyzacją sieci bezprzewodowych coraz większego znaczenia nabiera wiedza dotycząca metod i zasad zabezpieczania przed atakami wykorzystującymi źle skonfigurowane systemy Wi-Fi.

Podstawową metodą zapewnienia ochrony dostępu jest wykorzystanie standardowego protokołu 802.1x do autentykacji użytkowników. Daje on bowiem dość duże możliwości określania i kontrolowania uprawnień użytkowników.

Proces konfiguracji systemu jest dość skomplikowany i może dlatego w jego trakcie dość często administratorzy IT zapominają o jednym z podstawowych elementów - zabezpieczeniu samego serwera RADIUS. Tymczasem jest on kluczowym elementem systemu bezpieczeństwa, który nie tylko kontroluje dostęp do sieci, ale dostarcza kluczy szyfrujących wszystkim stacjom dostępowym Wi-Fi i urządzeniom klienckim. Odpowiednie zabezpieczenie serwera RADIUS i wykorzystywanych przez niego baz danych powinno być zadaniem pierwszoplanowym. Można tu wykorzystać kilka różnych technik:

1Podstawową metodą jest wykorzystanie jednego, dedykowanego serwera do obsługi mechanizmów autentykacji. W ten sposób można istotnie ograniczyć dostępność do niego, a także zapewnić, że ewentualne luki w bezpieczeństwie innych usług lub aplikacji nie ułatwią włamania do serwera RADIUS i naruszenia bezpieczeństwa danych firmy. Dodatkowo warto do minimum zmniejszyć liczbę osób, które mają możliwość dostępu do serwera.

2Drugim elementem jest ograniczenie liczby systemów, które mogą się komunikować z serwerem RADIUS. Do prawidłowej pracy musi on mieć możliwość wymiany informacji tylko z serwerami zapewniającymi dostęp do sieci (stacje Wi-Fi) oraz serwerami zapewniającymi usługi katalogowe LDAP lub SQL i udostępniającymi odpowiednie dane do autentykacji. Aby to zapewnić, należy tak skonfigurować reguły zapory firewall, aby wymuszały one tę zasadę i blokowały dostęp do RADIUS-a ze strony innych systemów lub aplikacji.

3Dodatkowo warto wprowadzić mechanizmy szyfrowania informacji wymienianych między serwerami przechowującymi dane, serwerami dostępowymi a serwerem RADIUS. W pierwszym wypadku najczęściej oznacza to wykorzystanie protokołów SSL lub IPsec. Jeśli dane niezbędne do autentykacji są przechowywane w katalogu LDAP, najłatwiej jest zastosować protokół SSL do szyfrowania wymienianych informacji. W innych systemach, nieobsługujących standardowo SSL, można wykorzystać protokół IPsec, podobnie jak do zabezpieczania komunikacji ze stacjami dostępowymi Wi-Fi.

4Innym mechanizmem zabezpieczeń jest zabezpieczenie dostępu do kluczy wymienianych między RADIUS-em, a stacjami dostępowymi. Każda ze stacji winna mieć unikalny identyfikator, a hasła dostępowe powinny być maksymalnie skomplikowane. Jeśli transmisja danych między tymi elementami systemu jest szyfrowana, metoda ta daje dodatkową warstwę ochrony, w innym wypadku jest kluczowym elementem zabezpieczeń.

Opracowano na podstawie artykułu w amerykańskim wydaniu Networlda.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200