IEEE 802.1X-аутентификация и Extensible Authentication Protocol

802.1x - это утвержденный IEEE [3] (Institute of Electrical and Electronics Engineers - Институт инженеров по электротехнике и электронике) стандарт контроля доступа к среде передачи, позволяющий разрешить или запретить доступ к сети, контролировать доступ к виртуальным локальным сетям, применять политики управления трафиком на основе идентификаторов пользователя или машины. Стандарт IEEE 802.1х определяет процесс инкапсуляции данных EAP (Extensible Authentication Protocol - Расширяемый Протокол Аутентификации), передаваемых между запрашивающими устройствами (клиентами), системами, проверяющими подлинность (точками беспроводного доступа), и серверами проверки подлинности (протокол RADIUS - Remote Authentication in Dial-In User Service).

Стандарт IEEE 802.1x определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, который предоставляет ему коммутатор. До того, как компьютер аутентифицировался, он может использовать только протокол EAPOL (Extendible Authentication Protocol over LAN) и только после успешного «логина» весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер.

Когда компьютер подключается к порту, коммутатор определяет, разрешен ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты 802.1x. Состояние порта в этом случае «unauthorized». Если клиент успешно проходит проверку, то порт переходит в состояние «authorized». Если коммутатор запрашивает у клиента его ID, а тот не поддерживает 802.1x, порт остается в состоянии «unauthorized». Если же клиент поддерживает 802.1x и инициирует процесс аутентификации методом отправки фрейма EAPOL-start, а коммутатор не поддерживает 802.1x (и, естественно, не отвечает) - клиент просто начинает нормально обмениваться трафиком.

Если же оба поддерживают 802.1x, процесс происходит следующим образом. Аутентификация начинается тогда, когда порт поднимается либо когда получен фрейм EAPOL-start. Коммутатор запрашивает идентификацию пользователя и начинает транслировать фреймы аутентификации между клиентом и сервером аутентификации. Если клиент успешно аутентифицировался (был принят Accept frame с сервера), порт коммутатора переходит в состояние «authorized». Если нет - порт остается в состоянии «unauthorized», но попытка аутентификации может быть повторена. Если сервер не доступен, коммутатор пытается достучаться до него снова. Если не получено никакого ответа от сервера через определенный отрезок времени - аутентификация не проходит.

Когда клиент отключается, он посылает EAPOL-logoff, что переводит порт в состояние «unauthorized».

Рассматривая спецификации 802.1х можно отметить, что, в настоящее время, используя 802.1X возможно развертывание наиболее надежной сетевой среды, используемой в современных сетях. Кроме того особенностями реализуемого протокола является возможность его применения в беспроводных локальных сетях, в отличие от обычных проводных кабельных сетей беспроводные локальные сети нельзя «защитить» стенами и закрытыми дверями, поэтому они более уязвимы к нападениям. Однако полученные хорошие результаты позволяют все чаще применять стандарт 802.1X в кабельных сетях в качестве дополнительной меры защиты.

В рамках исследования были рассмотрены аспекты внедрения протокола IEEE 802.1Х в ЛВС [32]. Целью работы являлся анализ проблем применения технологии IEEE 802.1Х в современных ЛВС и определения путей их решения. Актуальность решения поставленной задачи обусловлена необходимостью контроля подключения персональных устройств к локальным вычислительным сетям. При этом сетевой администратор должен быть уверенным в том, что клиент, запрашивающий доступ к сети, является авторизованным пользователем, а не злоумышленником. Пользователь, в свою очередь, должен иметь гарантию того, что подключается к нужной, а не ложной сети, запущенной хакером для перехвата пользовательской (конфиденциальной) информации.

Перейти на страницу: 1 2 3

Еще статьи по теме

Проектирование корпоративной сети для фирмы, занимающейся недвижимостью
Локальные сети предназначены для реализации таких прикладных функций, как передача файлов, электронная графика, обработка текстов, электронная почта, доступ к удаленным базам данных, передача цифровой речи. Локальные сети ...

Проектирование участка внутризоновой сети связи
В предложенном курсовом проекте необходимо разработать участок взаимоувязанной сети связи РФ с применением систем плезиохронной цифровой иерархии PDH на многомодовом волокне и синхронной цифровой иерархии SDH на одномодов ...

Главное меню

© 2021 / www.techsolid.ru