Nowy standard zabezpieczy sieci LAN

Znane są różne standardy służące do legalizacji zdalnych użytkowników. Obecnie pojawił się nowy, umożliwiający zdalne weryfikowanie użytkowników pracujących w sieciach LAN.

Znane są różne standardy służące do legalizacji zdalnych użytkowników. Obecnie pojawił się nowy, umożliwiający zdalne weryfikowanie użytkowników pracujących w sieciach LAN.

Nowy standard zabezpieczy sieci LAN

Jak to działa

Legalizowanie dostępu zdalnych użytkowników jest dla zarządzających sieciami prostym procesem: użytkownik łączy się z przedsiębiorstwem, połączenie zostaje przekazane do serwera RADIUS (Remote Authentication Dial-In Service), serwer pyta o hasło i, jeśli odpowiedź jest prawidłowa, zezwala użytkownikowi wejść do sieci LAN.

Dla użytkowników komputerów PC, znajdujących się w obszarze ograniczonym zaporą ogniową, istnieje kilka metod legalizacji.

Przed IEEE stoi zadanie rozszerzenia zalet zdalnej legalizacji na użytkowników pracujących w sieci LAN. Ponieważ do tego celu wykorzystuje się istniejące standardy, to nowa specyfikacja protokołu EAPOE (Extensible Authentication Protocol Over Ethernet) budzi nadzieje, że uda się to zrobić bez potrzeby dodania nowego oprogramowania klienta do typowych komputerów PC.

Część EAP pochodzi od powszechnie używanego protokołu PPP (Point-to-Point Protocol), który uruchamia modemy niemal wszystkich dzisiejszych użytkowników zdalnych. Opracowany przez IETF standard PPP jest zazwyczaj wykorzystywany do ustalania łącza typu peer-to-peer.

Opcja protokołu PPP również pozwala na legalizację użytkownika - albo przez protokół PAP (Password Authentication Protocol), albo protokół CHAP (Challenge Handshake Authentication Protocol) - przy tym oba protokoły weryfikują potwierdzenia hasła pracownika z centralnym serwerem RADIUS.

Jedną z kluczowych zalet protokołu PPP jest jego rozszerzalność, jednym, z mniej znanych rozszerzeń jest protokół EAP (Extensible Authentication Protocol). Podczas gdy protokół PPP oferuje tylko prostą legalizację typu peer-to-peer, wykorzystując protokół PAP lub protokół CHAP, protokół EAP umożliwia użycie wielu protokołów legalizacji.

Korzenie protokołu EAPOE

W celu zapewnienia obecnym użytkownikom sieci LAN tych możliwości nowa specyfikacja protokołu EAPOE zapożycza protokół EAP z mechanizmu transportowego protokołu PPP i następnie przydziela go do nowego mechanizmu transportowego, jakim jest Ethernet.

Protokół EAPOE rozpoczyna akcję natychmiast, gdy ethernetowy port przełącznika sieci LAN wykryje nowe połączenie. Przełącznik, wysyłając pakiet EAPOE z komunikatem Request Identity, wyszukuje nowo podłączone urządzenia. Nowe urządzenie, takie jak komputer PC użytkownika, umieszcza identyfikator ID użytkownika w polu danych EAPOE i wysyła pakiet z powrotem do przełącznika.

Następnie przełącznik przekazuje tę informację do serwera RADIUS w komunikacie Access Request protokołu EAP.

Podczas komunikowania się z serwerami RADIUS pakietu protokołu EAP nie wolno kapsułkować w ramki Ethernet, ponieważ, podobnie jak w protokole PPP, protokół EAP nie jest w stanie użyć protokołu RADIUS jako mechanizmu transportowego.

Serwer RADIUS odpowiada wysyłając zwrotnie do przełącznika komunikat Access Challenge, faktycznie prosząc o hasło. Przełącznik kapsułkuje prośbę w EAOPOE i wysyła do żądającego komputera PC.

Z kolei komputer PC wprowadza swoje hasło i wysyła je za pośrednictwem protokołu EAPOE z powrotem do przełącznika. Zazwyczaj hasła są wysyłane w formie zaszyfrowanej - kompatybilnej z oprogramowaniem szyfrującym. Jest to dodatkowa zaleta protokołu EAP i co się z tym wiąże protokołu EAPOE. Przełącznik umieszcza hasło w pakiecie Access Response protokołu EAP, kapsułkując go w protokole RADIUS dla transmisji do serwera RADIUS.

Z chwilą gdy serwer RADIUS stwierdzi zgodność identyfikatora ID i hasła ze swoją bazą danych, wysyła komunikat success do przełącznika, który natychmiast aktywuje połączenie portu użytkownika.

Jeśli topologia sieci nie dopuszcza zatorów związanych z obsługą We/Wy, to przy rozsądnych szybkościach dostępu do bazy danych cały proces nie powinien zająć więcej niż jedną sekundę.

Chociaż proces ten wydaje się prosty, to protokół EAPOE oferuje wyrafinowany mechanizm dla zabezpieczania sieci LAN z różnymi topologiami i rozmaitymi metodami zabezpieczeń.

W dużej mierze dzięki zmiennej długości pola danych w protokole EAP, które może przystosować szeroki zakres techniki bezpieczeństwa, standard może być użyty z praktycznie wszystkimi obecnie istniejącymi i przyszłymi metodami zabezpieczeń, w tym MD5 lub kartami token.

Do prac nad protokołem EAPOE zostanie wkrótce powołana grupa robocza IEEE. Specyfikację protokołu popierają liczni producenci, wśród nich 3Com, Cabletron, Extreme, Networks, FORE Systems, Hewlett-Packard, Intel i Merit Network.


TOP 200