Autentizace pomocí EAP: První bezpečnostní úroveň

Protokol EAP 802.1x je založený na Extensible Authentication Protocol (RFC 3748), jehož prostřednictvím se nabízí podp...


Protokol EAP
802.1x je založený na Extensible Authentication Protocol (RFC 3748), jehož
prostřednictvím se nabízí podpora mnoha různě silných autentizačních metod
(nejčastěji EAP-TTLS nebo PEAP; více v dalším dílu). Místo aby se přístupový
server musel přizpůsobovat každé nové formě autentizace, lze implementovat
samostatný autentizační server, který podporuje jednu nebo více metod
autentizace. Přístupový server pak slouží jako prostředník pro danou konkrétní
autentizaci. AP či autentizační servery od renomovaných výrobců podporují
několik hlavních metod autentizace. U klientů je podpora více autentizačních
metod složitější, proto je potřeba pečlivé plánování a testování.
Než se vyvinul protokol EAP, používaly se autentizační protokoly podporované
PPP (Point-to-Point Protocol), například CHAP (Challenge Handshake
Authentication Protocol). Ten sice umožňuje využít různé autentizační algoritmy
(MD5, SHA-1, MS-CHAP), ale omezuje se jen na ty založené na mechanismu výzva-
odpověď. EAP je sice také principiálně založen na mechanismu výzva-odpověď, ale
podporuje přes 30 autentizačních metod.
Rozdíl mezi použitím EAP v prostředí PPP a jeho použitím v 802.1x ve formě
EAPOL (Extensible Authentication Protocol-over-LANs) je v tom, že zatímco u PPP
se autentizace účastní pouze dvě komunikující strany, v 802.1x již mají v
procesu autentizace úlohu entity tři. Těmi jsou žadatel (supplicant, entita
vyžadující autentizaci před přístupem k LAN, obvykle bezdrátová stanice),
autentizátor (authenticator, entita umožňující autentizaci žadatele; nejčastěji
most, nebo AP) a autentizační server (Authentication Server). Pokud
autentizátor sám není schopen žadatele ověřit, službu autentizace poskytne AAA
server (typicky server RADIUS, Remote Authentication Dial In User Service, RFC
3579, nebo Diameter, RFC 4072). Postup práce podle 802.1x
Princip řízení přístupu podle 802.1x je jednoduchý: jakmile chce klient získat
přístup k LAN, autentizátor zablokuje veškeré síťové prostředky a služby pro
klienta vyjma autentizačního serveru. Klient se proto musí nejprve
autentizovat, než získá přístup do sítě. Přístupový bod musí ovšem klientovi
umožnit komunikaci po EAP ještě před vlastní autentizací. Uplatňuje se model
tzv. duálního portu, kdy autentizátor podporuje dva porty:
n Neřízený (uncontrolled) filtruje veškerý provoz kromě rámců EAP.
n Řízený (controlled) pro veškerý provoz autentizovaného/autorizovaného
klienta. Autentizaci ve Wi-Fi zprostředkovává přístupový bod pro klienty na
základě jejich výzvy pomocí lokálního přístupového seznamu (filtru MAC adres
bezdrátových stanic) anebo externího autentizačního systému (serveru Kerberos,
RFC 1510, nebo častěji RADIUS). Pouze ověřený uživatel má možnost přístupu k
bezdrátové síti. EAP pak řídí autentizaci mezi klientem a autentizačním
serverem. Obecný postup autentizace podle 802.1x je následující (viz obrázek):
n Přístupový server k síti, tj. přepínač nebo bezdrátový přístupový bod, na
základě detekce přítomnosti klienta vyšle klientovi zprávu EAP REQUEST-ID.
n Klient odpoví zprávou EAP RESPONSE-ID, která obsahuje identifikační údaje
uživatele.
n Přístupový server zapouzdří celou zprávu EAP RESPONSE-ID do paketu RADIUS
ACCESS_REQUEST a vyšle ji serveru RADIUS.
n Zprávy EAP jsou posílány mezi klientem a serverem RADIUS prostřednictvím
přístupového serveru: mezi klientem a AP jsou zapouzdřeny jako EAPOL a mezi AP
a autentizačním serverem jako pakety RADIUS.
n Server RADIUS odpoví zprávou s povolením/zákazem přístupu pro daného klienta
do sítě: RADIUS ACCESS_ACCEPT/DENY obsahující informaci EAP SUCCESS/FAILURE,
kterou přístupový server přepošle klientovi.
n V případě povolení přístupu (SUCCESS) je příslušný (logický) port přístupu do
sítě (přes který autentizační komunikace probíhala) otevřen pro data daného
uživatele, který je na základě úspěšného výše popsaného procesu považován za
autentizovaného.
Po úspěšné autentizaci následuje fáze správy klíčů, kdy přístupový bod
distribuuje šifrovací klíče autentizovaným stanicím, a to prostřednictvím
zprávy EAPOL-Key. Zpráva se nepotvrzuje, takže v případě její ztráty nemají
žadatel a autentizátor stejné klíče a následná komunikace selže. Pak se musí
provést celá autentizace znovu.
Autorka je nezávislá specialistka v oblasti propojování komunikačních sítí a
školitelka. Napsala řadu publikací, mimo jiné i Bezpečnost bezdrátové
komunikace (ISBN 80-251-0791-4).
(pat) 6 1498
Dynamické klíče podle 802.1x podrobně
Na konci výměny autentizačních zpráv se generují dvě sady 128bitových klíčů: n
Párové klíče (pairwise) jedinečné pro spojení mezi přístupovým bodem a klientem
zajištění spoje a překonání stejného klíče pro všechny u WEP. PMK (Pairwise
Master Key) je jedinečný pro relaci mezi žadatelem a autentizačním serverem a
používá se pro odvození PTK (Pairwise Transient Key) prostřednictvím výměny
rámců EAPOL-Key (4-way handshake). Pole PTK se použijí jako klíče KEK (Key
Encryption Key), KCK (Key Confirmation Key) a TK (Temporal Key). n Skupinové
klíče (groupwise) sdílené všemi stanicemi v jedné buňce 802.11 používané pro
šifrování skupinové komunikace (multicast).









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.