Bez kabli bez problemow

Może wystąpić też sytuacja, kiedy przełącznik obsługuje 802.1x i wymaga identyfikacji dołączanych klientów, ale klient nie dysponuje oprogramowaniem obsługującym ten protokół. Wówczas próby uzyskania dostępu do sieci są skazane na niepowodzenie. Przełącznik w wyniku braku możliwości "dogadania" pozostawia dany port w standardowym trybie nie autoryzowanym.

Niezmiernie istotne jest zapewnienie właściwej komunikacji między przełącznikiem sieciowym a serwerem identyfikacyjnym RADIUS. Jeśli istnieją trudności w komunikacji między tymi urządzeniami (np. z powodu zbyt długiego przesyłania pakietów EAP łączami WAN), to nawet w przypadku poprawnie podanych przez klienta danych identyfikacyjnych, port nie zostanie odblokowany. Autoryzowanie transmisji danych jest możliwe wyłącznie po udzieleniu przez serwer RADIUS odpowiedzi RADIUS Access-Accept.

Ochrona sieci poprzez wymuszenie identyfikacji klientów sieciowych z wykorzystaniem protokołu 802.1x rozwiązuje problemy związane z "podsłuchiwaniem" danych. Twórcy standardu zakładali również możliwość rozszerzania funkcjonalności 802.1x poprzez realizację dodatkowych usług w momencie udzielenia dostępu do sieci danemu klientowi. W ramach tego procesu można również, na podstawie podanych danych identyfikacyjnych, przyporządkowywać danego klienta (i dany port) określonej sieci wirtualnej VLAN, określać priorytet poszczególnych transmisji, a także wymieniać sesyjne klucze szyfrujące w sieciach bezprzewodowych 802.11.

Na własną rękę

Producenci starali się dotychczas ominąć braki WEP, stosując samodzielnie opracowywane mechanizmy zabezpieczeń. Avaya wykorzystuje 128-bitowe szyfrowanie RC4. W najbardziej zaawansowanych rozwiązaniach firma wymaga identyfikacji na serwerze RADIUS.

3Com stosuje technologię Dynamic Security Link (DSL), opartą na 128-bitowych dynamicznie generowanych kluczach szyfrujących i umożliwiającą dodatkowo autoryzację użytkowników przez podanie identyfikatora i hasła. Najbardziej zaawansowane rozwiązanie - Access Point 8000 - obsłuje 802.1x. Jednocześnie firma oferuje serwer RADIUS, umożliwiający przekierowywanie zapytań z RADIUS-a do innych systemów identyfikacji, np. domeny Windows czy bazy danych SQL.

Cisco od 2000 r. proponuje własne rozszerzenie protokołu EAP stosowanego w standardzie 802.1x - Lightway EAP (LEAP). Nowością jest m.in. możliwość stosowania dynamicznie generowanych kluczy WEP (per user i per session), a także definiowania okresu ich ważności, po upływie którego jest wymuszana kolejna identyfikacja użytkownika, powodująca również wygenerowanie nowych kluczy WEP.

Niebezpieczny WEP

Standardowe w przypadku sieci bezprzewodowych szyfrowanie WEP z użyciem 40- i 128-bitowych kluczy nie jest bezpieczne (de facto są to klucze 40- i 104-bitowe wykorzystujące 24-bitowy wektor inicjalizacyjny). Podstawową wadą algorytmu WEP jest zastosowanie statycznych kluczy szyfrujących, zapisanych w każdym urządzeniu bezprzewodowym. Jak wykazały praktyczne testy, możliwe jest złamanie zabezpieczeń WEP i odczytanie klucza szyfrującego poprzez zastosowanie pasywnej, niemożliwej do wykrycia, metody. Odczytanie klucza może nastąpić już po "podsłuchaniu" ok. 500 MB - 1 GB przesyłanych bezprzewodowo danych.


TOP 200