Протокол 802.IX: контроль доступа в сеть по портам

Протокол 802.IX разработан в качестве надстройки для всех протоколов контроля доступа 2 уровня, включая Ethernet и WLAN. Так как данный протокол был разработан в то время, когда создатели WLAN искали решения проблем, связанных с WEP, он пришелся как нельзя кстати.

Протокол предназначен для обеспечения обобщенного механизма аутентификации при доступе в сеть и предусматривает следующий набор элементов:

  • • Аутентификатор. Сетевое устройство, осуществляющее поиск других объектов для аутентификации; для WLAN это может быть АР.
  • • Соискатель. Объект, которому требуется доступ. В случае с WLAN это может быть рабочая станция.
  • • Сервер аутентификации. Источник служб аутентификации. 802.IX разрешает централизацию этой функции, поэтому данный сервер является, например, сервером RADIUS.
  • • Сетевая точка доступа. Точка присоединения рабочей станции к сети. По сути, это порт на коммутаторе или концентраторе. В беспроводной технологии она является связью между рабочей станции и точкой доступа.
  • • Процесс доступа через порт (РАЕ). РАЕ - это процесс, выполняющий протоколы аутентификации. РАЕ есть как у аутентификатора, так и у соискателя.
  • • Расширяемый протокол аутентификации (ЕАР). Протокол ЕАР (определен в стандарте RFC 2284) представляет собой протокол, используемый при обмене аутентификационными данными. Поверх ЕАР могут работать и другие протоколы аутентификации более высокого уровня.

Использование протокола 802.IX позволяет применить более надежный механизм аутентификации, нежели возможности, доступные в 802.Их. При использовании совместно с сервером RADIUS становится возможным централизованное управление пользователями.

Примечание

Для функционирования 802.IX рабочая станция и точка доступа должны иметь между собой связь. Поэтому рабочая станция уже может быть подключена к беспроводной сети перед аутентификацией.

Взаимная аутентификация является необязательной относительно 802.IX, и, таким образом, множество инсталляций по умолчанию будет открыто для атак перехватом. 802.IX также предусматривает одноразовую аутентификацию (в начале сеанса). Следовательно, если злоумышленник завладеет МАС-адресом легальной рабочей станции, он получит возможность захватить сеанс и работать в сети WLAN под видом одного из легальных пользователей.

Атака на WEP через посредника

Рис. 18.3. Атака на WEP через посредника

Проверка знаний

1. Механизм безопасности передачи, определенный в 802.Их,

называется_.

2. _- это строка, необходимая любой рабочей станции для

установки связи с точкой доступа.

Вопросы безопасности беспроводных соединений

С расширением применения WLAN в организациях возникла необходимость в осознании рисков, связанных с использованием этих сетей. Риски варьируются от прослушивания до направленных внутренних атак и даже атак, нацеленных на внешние сайты.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >