Nadzieją na podwyższenie standardu bezpieczeństwa w lokalnych sieciach bezprzewodowych jest nowy protokół 802.1x.

Standardowe mechanizmy zabezpieczeń sieci bezprzewodowych budowanych w standardzie 802.11b i oferujących szybkość transmisji do 11 Mb/s są niewystarczające, by zagwarantować, że dane przesyłane "w powietrzu" nie zostaną podsłuchane i rozszyfrowane. Złamanie zabezpieczeń protokołu WEP (Wired Equivalent Privacy), podstawowego rozwiązania w sieciach 802.11b, spowodowało, że producenci rozwiązań Wireless LAN zaczęli samodzielnie szukać sposobu na zabezpieczanie swoich urządzeń. Niestety, rozwiązania stosowane np. przez Cisco, 3Com i Avaya nie współpracują ze sobą. Klient, chcący zapewnić bezpieczeństwo przesyłanym danym, musi związać się z jednym producentem.

Hasło poproszę

Nowym standardem, który ma pomóc w rozwiązaniu problemu niekompatybilności zabezpieczeń stosowanych przez różnych producentów, jest IEEE 802.1x. Wymusza on identyfikację użytkowników urządzeń bezprzewodowych przed przydzieleniem im transmisji danych. Obsługę IEEE 802.1x implementują już w swoich punktach dostępowych (access point) najbardziej liczący się na tym rynku producenci. Jego obsługa jest również standardowo dostępna w Windows XP. Z tego protokołu zaczynają też korzystać producenci tradycyjnych urządzeń sieciowych, stosujących okablowanie do dołączania użytkowników. Rozwiązanie to implementuje m.in. Cisco w przełącznikach Catalyst.

Standard IEEE 802.1x określa zasady identyfikowania klientów sieciowych przed udzieleniem im prawa transmisji w sieciach lokalnych. W odróżnieniu od tradycyjnych metod zabezpieczania transmisji bezprzewodowej (z wykorzystaniem protokołu WEP) do bezpiecznej identyfikacji klientów sieciowych konieczne jest wdrożenie serwera. Zgodnie z definicją standardu 802.1x w procesie identyfikacji uczestniczą trzy rodzaje urządzeń: klient, serwer identyfikacyjny oraz przełącznik sieciowy (lub punkt dostępowy).

Klient sieciowy (określany w opisie standardu jako supplicant) musi mieć zainstalowane oprogramowanie, obsługujące protokół 802.1x. Jedynym systemem wyposażonym w obsługę tego protokołu jest Windows XP. W przypadku innych systemów konieczna jest instalacja dodatkowych sterowników, dostarczanych przez producentów kart sieciowych.

Serwer identyfikacyjny, zainstalowany w dowolnym miejscu sieci korporacyjnej (może być również w innej lokalizacji oddzielonej łączami WAN od sieci lokalnej), jest odpowiedzialny za sprawdzenie tożsamości klienta sieciowego i decyzję o przyznaniu mu dostępu do sieci. Standard wymaga, by był to serwer RADIUS zdolny do obsługi protokołu identyfikacji EAP (Extensible Authentication Protocol).

Ostatnim elementem systemu jest przełącznik sieciowy lub punkt dostępowy, który udostępnia lub blokuje dostęp do sieci w zależności od powodzenia procesu identyfikacji. Przełącznik, znajdujący się między klientem a serwerem identyfikacyjnym, pracuje w trybie proxy: żąda identyfikacji ze strony klienta, weryfikuje podane informacje z wykorzystaniem serwera identyfikacyjnego i przesyła odpowiedź bezpośrednio do klienta. Komunikacja między klientem a przełącznikiem oraz między przełącznikiem a serwerem identyfikacyjnym jest realizowana w różny sposób, co powoduje, że przełącznik musi dokonywać konwersji przesyłanych ramek.

W rzeczywistości bowiem jedynymi ramkami przyjmowanymi przez przełącznik obsługujący standard 802.1x od nie autoryzowanego portu są pakiety EAPOL (EAP over LAN) - specjalna wersja protokołu EAP przystosowana do bezpośredniego przesyłania sieciami Ethernet. Otrzymujący takie pakiety przełącznik, wyposażony w oprogramowanie klienta RADIUS, "odziera" ramkę EAPOL z nagłówka Ethernet i konwertuje ją do postaci zapytania RADIUS. Ramki EAP, poza zmianą nagłówka, w żaden sposób nie są modyfikowane w tym procesie. Po otrzymaniu odpowiedzi od serwera identyfikacyjnego, przełącznik ponownie dokonuje konwersji - tym razem usuwając nagłówek serwera, dodając do ramki EAP nagłówek Ethernet i przesyłając ją z powrotem do klienta.

Wejście bez pukania

Z zalet 802.1x mogą korzystać klienci sieciowi, nawet jeżeli w obsługę tego protokołu nie wyposażono ich przełączników sieciowych i punktów dostępowych.

Standardowo procedura identyfikacji powinna się rozpoczynać od wysłania przez przełącznik obsługujący protokół 802.1x zapytania EAP-Request/Identity do klienta sieciowego żądającego dostępu. Jeżeli jednak klient sieciowy, obsługujący 802.1x, nie otrzyma takiego zapytania ze strony przełącznika, to sam próbuje inicjować identyfikację, wysyłając ramkę EAPOL-Start. Jeżeli przełącznik trzykrotnie nie odpowie zapytaniem EAP-Request/Identity na żądania rozpoczęcia procesu identyfikacji (ramki EAPOL-Start wysyłane przez klienta), to klient uznaje, że jest dołączony do przełącznika nie obsługującego identyfikacji 802.1x i zaczyna transmitować dane tak, jakby uzyskał już autoryzację do korzystania z sieci. Zaletą tego standardu jest to, że wysyłanie przez klienta ramek EAPOL-Start nie zakłóca pracy urządzeń sieciowych nie obsługujących 802.1x - po prostu są one ignorowane.