Zabezpieczanie RADIUS-a
- 15.05.2007
Wraz z systematyczną popularyzacją sieci bezprzewodowych coraz większego znaczenia nabiera wiedza dotycząca metod i zasad zabezpieczania przed atakami wykorzystującymi źle skonfigurowane systemy Wi-Fi.
Wraz z systematyczną popularyzacją sieci bezprzewodowych coraz większego znaczenia nabiera wiedza dotycząca metod i zasad zabezpieczania przed atakami wykorzystującymi źle skonfigurowane systemy Wi-Fi.
Podstawową metodą zapewnienia ochrony dostępu jest wykorzystanie standardowego protokołu 802.1x do autentykacji użytkowników. Daje on bowiem dość duże możliwości określania i kontrolowania uprawnień użytkowników.
Proces konfiguracji systemu jest dość skomplikowany i może dlatego w jego trakcie dość często administratorzy IT zapominają o jednym z podstawowych elementów - zabezpieczeniu samego serwera RADIUS. Tymczasem jest on kluczowym elementem systemu bezpieczeństwa, który nie tylko kontroluje dostęp do sieci, ale dostarcza kluczy szyfrujących wszystkim stacjom dostępowym Wi-Fi i urządzeniom klienckim. Odpowiednie zabezpieczenie serwera RADIUS i wykorzystywanych przez niego baz danych powinno być zadaniem pierwszoplanowym. Można tu wykorzystać kilka różnych technik:
1Podstawową metodą jest wykorzystanie jednego, dedykowanego serwera do obsługi mechanizmów autentykacji. W ten sposób można istotnie ograniczyć dostępność do niego, a także zapewnić, że ewentualne luki w bezpieczeństwie innych usług lub aplikacji nie ułatwią włamania do serwera RADIUS i naruszenia bezpieczeństwa danych firmy. Dodatkowo warto do minimum zmniejszyć liczbę osób, które mają możliwość dostępu do serwera.
2Drugim elementem jest ograniczenie liczby systemów, które mogą się komunikować z serwerem RADIUS. Do prawidłowej pracy musi on mieć możliwość wymiany informacji tylko z serwerami zapewniającymi dostęp do sieci (stacje Wi-Fi) oraz serwerami zapewniającymi usługi katalogowe LDAP lub SQL i udostępniającymi odpowiednie dane do autentykacji. Aby to zapewnić, należy tak skonfigurować reguły zapory firewall, aby wymuszały one tę zasadę i blokowały dostęp do RADIUS-a ze strony innych systemów lub aplikacji.
3Dodatkowo warto wprowadzić mechanizmy szyfrowania informacji wymienianych między serwerami przechowującymi dane, serwerami dostępowymi a serwerem RADIUS. W pierwszym wypadku najczęściej oznacza to wykorzystanie protokołów SSL lub IPsec. Jeśli dane niezbędne do autentykacji są przechowywane w katalogu LDAP, najłatwiej jest zastosować protokół SSL do szyfrowania wymienianych informacji. W innych systemach, nieobsługujących standardowo SSL, można wykorzystać protokół IPsec, podobnie jak do zabezpieczania komunikacji ze stacjami dostępowymi Wi-Fi.
4Innym mechanizmem zabezpieczeń jest zabezpieczenie dostępu do kluczy wymienianych między RADIUS-em, a stacjami dostępowymi. Każda ze stacji winna mieć unikalny identyfikator, a hasła dostępowe powinny być maksymalnie skomplikowane. Jeśli transmisja danych między tymi elementami systemu jest szyfrowana, metoda ta daje dodatkową warstwę ochrony, w innym wypadku jest kluczowym elementem zabezpieczeń.
Opracowano na podstawie artykułu w amerykańskim wydaniu Networlda.