Menu Zavrieť

11. IEEE 802.1x, autentizácia k portu, MS IAS

Autentizácie prístupu k portu pomocou protokolu IEEE 802.1x je základ dnes populárnych technológií zvaných Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadi prístup zariadenia / užívateľov k sieti. Výhoda je, že prístup kontrolujeme na okraji, teda priamo na porte (access switch), do ktorého je užívateľ pripojený. Princíp spočíva v tom, že port na switchi je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovaní do VLAN či zaradenie portu do Hostovský VLANy, pokiaľ nedôjde k autentifikáciu.

Protokol IEEE 802.1x

O vlastným protokolu 802.1x sa zmienim iba stručne. Ide o štandard pre kontrolu prístupu do siete založenú na porte ( Port-based Network Access Control ). Je založený na Extensible Authentication Protocol (EAP) RFC 3748. Používa sa na novších switchoch vyššej triedy (väčšina dnešných Cisco switchov) alebo pre bezdrôtové siete (prístupové body AP). V drôtových sieťach sa jedná o fyzickú bezpečnosť na linkové vrstve (2. vrstva ISO / OSI).

Ak je port v  neautorizovanom stave (unauthorized), tak neprijíma od klienta (označuje sa ako supplicant ) žiadnu komunikáciu mimo 802.1x prevádzky (presnejšie, na porte je povolené Extensible Authentication Protocol over LAN – EAPOL , CDP, Spanning Tree Protocol). Nasleduje fáza autentizácie, ktorú authenticator (väčšinou switch) odovzdáva autentizačnímu servera (väčšinou RADIUS). Pokiaľ dôjde k úspešnej autentizáciu, tak sa port prepne do autorizovaného stavu (authorized), kedy je normálne funkčný. Klient sa môže odhlásiť, potom sa port opäť prepne do neautorizovaného stavu. Zakaždým, keď sa stav linky zmení z  down na up, Tak port začína v neautorizovanom stave.

Konfigurácia v Cisco IOSu

Na Cisco switchoch sa sprevádzkovanie tejto metódy vykoná v dvoch krokoch. Najprv využijeme komponent authentication, authorization, and accounting (AAA), ktorá zaisťuje vlastnú autentizáciu (plus ďalšie funkcie) zariadenia / používateľa. Druhý krok spočíva v konfigurácii protokolu 802.1x (dot1x) pre switch a jednotlivé porty.

Pomocou AAA zvolíme autentizačný metódu. Najpoužívanejšie je využitie externého RADIUS servera. Výhodou je odtienenie autentizačné metódy od switche.

Na tomto mieste uvádzam iba základnú konfiguráciu, ktorá je dostatočná pre autentizáciu na porte. Rad ďalších možností a funkcií bude v budúcom článku.

Nastavenie AAA cez Radius

SWITCH (config) # aaa new-model                  // zapnutie AAA access control model  
Nastavenie RADIUS servera 
SWITCH (config) # radius-server host 10.0.0.10   // adresa alebo meno servera 
SWITCH (config) # radius-server key 12345        // shared secret  
Nastavenie AAA metódy pre 802.1x na predtým definovaný RADIUS 
SWITCH (config) # aaa authentication dot1x default group radius

Nastavenie 802.1x

SWITCH (config) # dot1x system-auth-control      // zapne 802.1x globálne pre switch (ale funguje len na nastavených portoch) 
SWITCH (config-if) # dot1x port-control auto     // zapne 802.1x pre port, kde ho chceme použiť 
SWITCH # show dot1x all                         // zobrazí info

Pozn .: Defaultná hodnota pre port-control je force-authorized , teda port je vždy autorizovaný a 802.1x sa nepoužíva.

Konfigurácia MS IAS (RADIUS) servera

Ak sa rozhodneme pre použitie RADIUS (Remote Authentication Dial-in User Service) servera, tak máme k dispozícii rad riešení. Jednou z možností je použitie Internet Authentication Service (IAS) od Microsoftu, čo je komponent Windows Servera 2003. IAS ponúka služby pre autentizáciu, autorizáciu, účtovanie a audit ( authentication, authorization, accounting and auditing) .

Pre praktické situácie sa odporúča inštalovať IAS na doménový radič, najlepšie zároveň Global Catalog. Tiež sa odporúča mať dva IAS servery pre prípad výpadku jedného z nich. Na RADIUS servera môžeme nakonfigurovať, akú autentizačný databáze má použiť, v našom prípade sa používa LDAP pre pripojenie k Active Directory. RADIUS protokol nikdy neposiela užívateľské heslo v čistom texte.

Krok 1 – sprevádzkovanie IASu

  • najprv cez Add or Remove Programs pridáme komponent do systému, nachádza sa pod Networking Services
  • spustíme management pre IAS (MMC konzoly) cez Administrative Tools
  • aby mohol IAS pristupovať k záznamom v AD, tak ho musíme zaregistrovať v AD – klikneme pravým tlačidlom na Rootove položku Internet Authentication Service (local) a zvolíme Register Server in Active Directory
  • ďalej službu naštartujeme (Štart Service na Rootove položke)

Pozn .: V nastavení IAS servera môžeme nastaviť porty, na ktorých komunikuje. Štandardne sa používajú UDP porty 1812 alebo 1645 pre autentizáciu a 1813 alebo 1646 pre accounting.

Krok 2 – vytvorenie klienta

Tu definujeme zariadenie (klienta), ktorý bude môcť k serveru pristupovať. Nejedná sa teda priamo o klienta, ale o Authenticator (napríklad switch), ktorý bude komunikovať s RADIUS serverom.

  • pod zložkou RADIUS Clients vytvoríme nového klienta, čo je switch, kde chceme použiť 802.1x
  • zadáme IP adresu či meno, v Enterprise verzii môžeme špecifikovať aj rozsah pomocou CIDR notácie
  • ako Client-vendor nastavíme Cisco (inokedy sa väčšinou používa RADIUS Standard, ale nie pre Cisco)
  • zadáme Shared secret , čo je alfanumerický reťazec, ktorý slúži na overenie prístupu klienta

Krok 3 – vytvorenie politiky pre vzdialený prístup

V treťom kroku musíme vytvoriť Remote Access Policy , kde sa okrem iného určujú autentizačný metódy. Týchto politík môže byť viac a podľa zadaných podmienok (policy conditions), ktoré môžu byť veľmi pestré, sa určuje, ktorá z nich sa použije.

  • vytvoríme novú politiku (pravým tlačidlom na Remote Access Policies a New Remote Access Policy )
  • zvolíme custom policy a zadáme meno (tu Cisco switche)
  • ako podmienky politiky (teda na čo sa bude politika aplikovať) môžeme vybrať potrebné Client-Friendly-Name a hodnotu Cisco * a NAS-Port-Type a Ethernet

Pozn .: Ďalšou možnou podmienkou je obmedzenie prístupu užívateľov. Ak vytvárame politiku pomocou sprievodcu, tak nám ponúka dve možnosti. Riadenie prístupu pomocou nastavenia u užívateľského konta v AD (User). Alebo individuálne riadenie pomocou skupín (Group). Podmienka pre skupinu sa volá Windows-Groups a hodnotu môžeme treba nastaviť na „domena \ Domain Computers; domena \ Domain Users“ . Rôznym nastavením môžeme obmedziť autentizáciu napríklad pomocou konta počítača.

  • v ďalšom kroku nastavujeme, či politika povoľuje (grant) alebo zakazuje (deny) prístup . Toto nastavenie je však prepísané nastavením u užívateľského účtu v AD na záložke Dial-in , položka Remote Access Permission
  • preskočíme nastavenie profilu a dokončíme politiku

Tým sme vytvorili politiku a nastavili parametre, podľa ktorých sa bude vyberať na aké žiadosti sa má uplatniť. Teraz musíme definovať autentizačný parametre .

  • dvojklikom otvoríme našu politiku a dostaneme sa do vlastností
  • na prvej stránke vidíme podmienky, podľa ktorých sa politika vyhodnocuje
  • Pozn .: Možností pre nastavenie je celá rada. Záložka Dial-in Constrains , môžeme nastaviť, ako dlho môže byť používateľ pripojený alebo v ktorú dobu sa môže pripojiť. Záložka Advanced , môžeme definovať veľkú radu atribútov (vrátane Vendor-Specific atribútov), ktoré budú vrátené zariadenie, ktoré sa pýta (switch). Záložka Encryption , môžeme definovať, aké šifrovacie metódy sú akceptované, tu je dobré nastaviť najsilnejší šifrovanie (pokiaľ je to možné).

  • Kliknutím na tlačidlo Edit Profile, sa dostaneme do nastavenia podrobností. Nás zaujíma hlavne záložka Authentication .

Na záložke Authentication môžeme voliť jednu z radu autentizačných metód podľa potreby a podpory na klientoch. Pre náš prípad však tu nenastavíte nič a klikneme na tlačidlo EAP Methods . Medzi EAP metódami môžeme vybrať PEAP alebo ak používame čipovej karty a / alebo certifikáty, tak Smart Card or other certificate . Ďalšie vlastnosti sa následne nastavujú pre vybranú EAP metódu pomocou tlačidla Edit.

Export a import nastavení pre IAS

Ak máme dva IAS servery, ktoré majú mať tú istú konfiguráciu (z dôvodu zálohy), tak môžeme použiť export a import konfigurácie. Použijeme pre to skriptovací utilitu pre príkazový riadok netsh(Network Shell).

Pre zálohu konfigurácie môžeme použiť nasledujúci príkaz, ktorý ju uloží do súboru iasconfig.txt

netsh aaaa show config> iasconfig.txt

Pre obnovu konfigurácie poslúži príkaz

netsh exec iasconfig.txt

Konfigurácia klienta Windows XP

Windows XP , Windows Vista a Windows 2000 SP4 obsahujú podporu pre protokol IEEE 802.1x . Zapnutie a konfigurácia sa vykonáva pre jednotlivé sieťové spojenie. Control Panel – Network Connections – pravé tlačidlo na spojenie – Properties – záložka Authentication . Vo Windows Vista nie je podpora 802.1x štandardne zapnutá a pre jej využitie je potrebné naštartovať službu Wired AutoConfig .

Pozn .: Stretol som sa problémom, že záložka Authentication chýbala. Bolo to na počítači, kde bola tiež bezdrôtová sieťová karta a tá bola riadenia ovládačom výrobcu. Vo chvíli, keď som nastavil riadenia pomocou Windows, sa na všetkých sieťových kartách objavila záložka Authentication (a všetko fungovalo) .

Nastavenie je jednoduché a samozrejme musí zodpovedať tomu, čo sme nastavili na RADIUS servera.

  • prvá položka “ Enable IEEE 802.1x authentication for this network “ povoľuje alebo zakazuje využitie protokolu 802.1x
  • pod EAP type vyberáme autentizačné metódu (napr. PEAP či Smart Card or other certificate)
  • tlačidlom Properties sa dostaneme do nastavenia podrobností danej autentizačné metódy
  • podtržníkom “ Authenticate as computer when computer information is available “ povoľujeme, či sa môže pokúsiť o autentizáciu počítač, keď nie je prihlásený používateľ
  • Posledný zatržítko “ Authenticate as guest when user or computer information is unavailable “ povoľuje počítaču, aby sa pokúsil o prihlásenie pomocou účtu Guest, keď sa nemôže autentizovať pomocou konta používateľa ani počítača

Pozn .: Možnosť autentizovať počítač nám dovolí vykonať autentizáciu vo chvíli, keď je dostupné sieťové pripojenie. To znamená skôr, než sa bude autentizovať užívateľ a skôr než sa začnú spúšťať group policy a login skripty