Stuk, puk! Kto tam?

Windows XP umożliwi identyfikację użytkowników, zanim zostanie przyznany im dostęp do sieci.

Windows XP umożliwi identyfikację użytkowników, zanim zostanie przyznany im dostęp do sieci.

Obsługa nowego, jeszcze nie zatwierdzonego standardu identyfikacji użytkowników w sieciach lokalnych IEEE 802.1X znajdzie się w systemie Windows XP, określanym roboczą nazwą Whistler. Standard opracowany i rozwijany wspólnie przez m.in. 3Com, Cabletron (Enterasys), Cisco, Extreme, HP, Intela i Microsoft powoli jest implementowany również w rozwiązaniach sieciowych różnych producentów - głównie w rozwiązaniach sieci bezprzewodowych 802.11.

IEEE 802.1X określa zasady identyfikacji stacji roboczych i użytkowników przed uzyskaniem przez nich dostępu do sieci. Jeśli nie zakończy się ona powodzeniem, to stacja podłączona do portu przełącznika Ethernet bądź będąca w zasięgu punktu dostępowego sieci bezprzewodowej nie będzie mogła przesyłać informacji. Uniemożliwi to włączanie do sieci nie autoryzowanych użytkowników, korzystających np. z oprogramowania typu sniffer do "podsłuchiwania" pakietów przesyłanych siecią.

Bezpieczny port

Protokół IEEE 802.1X określa dwa sposoby pracy portów przełączników LAN (administrator może wskazać, który z nich będzie aktywny): nie kontro- lowany - komunikacja odbywa się tak samo jak obecnie (użytkownik nie musi być zidentyfikowany, aby port sieciowy pozwalał mu na wymianę danych) oraz kontrolowany - przed uzyskaniem dostępu do sieci musi być przeprowadzona autoryzacja użytkownika.

Autoryzacji takiej nie dokonuje jednak przełącznik sieciowy bądź punkt dostępowy sieci bezprzewodowej. Po podłączeniu do nich nowej stacji wysyłają one do niej prośbę o podanie identyfi-katora, który następnie przekazują do serwera RADIUS działającego w sieci (może to być ten sam serwer, który identyfikuje użytkowników uzyskujących zdalny dostęp do sieci). Serwer RADIUS wysyła żądanie weryfikacji tożsamości użytkownika, np. poprzez podanie hasła. Dopiero po poprawnym zidentyfikowaniu jest przyznawany dostęp do komunikacji w sieci.

Bezprzewodowe rozszerzenia

W przypadku sieci bezprzewodowych rozszerzono specyfikację IEEE 802.1X w taki sposób, aby komunikacja między stacją roboczą a punktem dostępowym była dodatkowo zabezpieczona. Po udanej autoryzacji serwer RADIUS wysyła do punktu dostępowego sieci bezprzewodowej specjalny klucz autoryzacyjny (w formie zaszyfrowanej, która może być odszyfrowana tylko przez ten punkt dostępowy). Korzystając z niego, punkt dostępowy bezpiecznie transmituje do bezprzewodowej kar- ty sieciowej komplet kluczy (na czas sesji komunikacyjnej), które będą wykorzystywane przy przesyłaniu pakietów podczas zwykłej komunikacji sieciowej. Jednocześnie protokół IEEE 802.1X dopuszcza możliwość okresowej reautoryzacji w celu ponownego potwierdzenia tożsamości użytkownika wykorzystującego daną stację oraz wymiany stosowanych kluczy komunikacyjnych, dzięki czemu zostaje zwiększony poziom bezpieczeństwa.

Specyfikacja IEEE 802.1X nie jest jeszcze oficjalnie zatwierdzonym standardem, ale wsparcie dla niej w niektórych ze swoich produktów oferują już tacy producenci, jak Enterasys Networks, Cisco, 3Com, Intel, Compaq i Dell. Obsługa tej technologii znalazła się w Windows XP Beta 2. Docelowo Microsoft zamierza również wyposażyć w nią system Windows 2000.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200