8.2. EAP, IEEE 802.1x va IPSec standartlari
IEEE 802.11 standart asosida tarmoqlarni ishlab chiqaruvchilari va ulardan foydalanuvchilari to’qnashgan muammolari simsiz tarmoqlarni himoyalashning yangi yechimlarini qidirishga majbur etdi.
Simsiz tarmoq xavfsizligi tizimiga ta’sir etuvchi komponentlar aniqlandi:
- autentifikatsiya arxitekturasi;
- autentifikatsiya mexanizmi;
- ma’lumotlarning konfidensialligini va yaxlitligini ta’minlovchi mexanizmlar.
Shu sababli, autentifikatsiyaning kengayuvchi protokoli EAP ishlab chiqilgan.
Autentifikatsiya algoritmi EAP (Extensible Authentication Protocol - autentifikatsiyaning kengayuvchi protokoli) - ko’pgina tekshirish usullarini madadlovchi autentifikatsiya modeli. EAP, odatda, bevosita PPP yoki IEEE 802 xillaridagi kanal sathidagi protokollar bazasida ishlaydi va IP protokolini ishlatishni talab qilmaydi.
EAP simsiz tarmoq elementlarining va tarmoqdan foydalanuvchilarning markazlashgan autentifikatsiyasini, shifrlash kalitlarini dinamik generatsiyalash imkoni bilan, madadlaydi.
EAP simli va simsiz muhitlardagi ajratilgan va kommutatsiyalanuvchi qurilmalarda ishlatilishi mumkin. Hozirda EAP protokoli xostlarda va marshrutizatorlarda amalga oshirilgan. Protokol IEEE 802 protokollarini ishlatuvchi kommutatorlarda va foydalanish nuqtalarida ham amalga oshirilishi mumkin. IEEE 802 simli muhitlarda EAP ning inkapsulyasiyasi IEEE-802.1x standartda, simsiz muhitlarda esa - IEEE 802.11i standartda tavsiflangan.
EAP arxitekturasining afzalliklaridan biri uning moslanuvchanligi. EAP autentifikatsiyaning muayyan mexanizmini tanlashga xizmat qiladi.
Autentifikatsiya mexanizmiga binoan foydalanuvchi autentifikatsiyalanuvchi tomonga (masalan RADIUS-serverga) autentifikatsiya so’rovini jo’natadi. So’ngra autentifikatsiyalanuvchi tomon qo’llanuvchi muayyan autentifikatsiya usulini aniqlash uchun qo’shimcha axborotni so’raydi. Foydalanuvchi tomonidan javob olinganidan so’ng autentifikatsiyalovchi tomon avtorizatsiyalash va tarmoq trafigini uzatish huquqini olishga ruhsat beradi.
IEEE 802.1x standart ma’lumotlarni uzatish tarmog’idan foydalanuvchilarni va ishchi stansiyalarni autentifikatsiyalash va avtorizatsiyalash uchun ishlatiladi. IEEE 802.1x standart foydalanuvchiga, u tegishli guruhga bog’liq holda, tarmoqdan va uning servislaridan foydalanish huquqini taqdim etadi.
Simsiz tarmoqlar uchun IEEE 802.1x standart autentifikatsiyasi uchta komponentdan iborat (8.4-rasm):
- simsiz mijoz (mijoz qurilmasining dasturiy ta’minoti);
- autentifikator (foydalanish nuqtasi);
- autentifikatsiya serveri (RADIUS).
IEEE 802.1x standartning autentifikatsiya himoyasi simsiz tarmoq mijozidan foydalanish nuqtasiga so’rovni boshlab beradi. Foydalanish nuqtasi mijozning haqiqiyligini mos RADIUS serverida EAP protokoli orqali aniqlaydi. RADIUS serveri foydalanuvchi autentifikatsiyasini (parol yoki sertifikat yordamida) yoki kompyuter autentifikatsiyasini (MAC-adres yordamida) bajarishi mumkin. Nazariy jihatdan, simsiz tarmoq mijozi tarmoqqa tranzaksiya tugamasdan oldin kira olmaydi.
8.4-rasm. 802.1x/EAP da autentifikatsiya jarayoni
IEEE 802.1x simsiz lokal tarmoq mijoziga faqat autentifikatsiya serveriga atributlarni uzatish vositalarini taqdim etadi va autentifikatsiyaning turli usullari va algoritmlarining ishlatilishiga yo’l quyadi. Autentifikatsiya serverining vazifasi tarmoq xavfsizligi siyosati talab etuvchi autentifikatsiya usullarini madadlash hisoblanadi.
Autentifikator (foydalanish nuqtasi) har bir mijoz uchun, uning assotsiyalangan identifikatori asosida mantiqiy port yaratadi. Mantiqiy port ma’lumotlarni almashish uchun ikkita kanalga ega - nazoratlanuvchi va nazoratlanmaydigan kanallar. Nazoratlanmaydigan kanal trafikni simsiz segmentdan simliligiga va aksincha qarshiliksiz o’tkazadi, nazoratlanuvchi kanal esa tarmoq trafigining qarshiliksiz o’tkazilishi uchun muvaffaqiyatli autentifikatsiyani talab etadi.
Mijoz aktivlashadi va foydalanish nuqtasi bilan assotsiyalanadi (yoki simli lokal tarmoq xolida segmentga fizik ulanadi). Autentifikator ulanish faktini aniqlaydi va mijoz uchun mantiqiy portni, uni darhol "avtorizatsiyalanmagan" holiga o’tkazib, aktivlashtiradi. Natijada mijoz porti orqali faqat IEEE 802.1x protokol trafigi almashishi mumkin, barcha boshqa trafik uchun port blokirovka qilingan. IEEE 802.11 ning lokal tarmoqlarda fizik portlarning mavjud emasligi sababli, simsiz mijoz qurilmasi va foydalanish nuqtasi orasidagi assotsiatsiya foydalanishning tarmoq porti hisoblanadi. Mijoz ham autentifikatsiya jarayonini ishga tushirish uchun EAP Start (EAP autentifikatsiyaning boshlanishi) xabarini jo’natishi mumkin (majbur emas).
Autentifikatsiya tugaganidan so’ng server autentifikatorga RADIUS-ACCEPT (qabul qilish) xabarini yoki RADIUS-REJECT (rad etish) xabarini jo’natadi. RADIUS-ACCEPT xabari olinganida autentifikator mijoz portini "avtorizatsiyalangan" holatiga o’tkazadi va foydalanuvchining barcha trafigini uzatish boshlanadi.
IEEE 802.1x standartda kanal sathidagi foydalanuvchilarning autentifikatsiyasi EAP protokoli bo’yicha bajariladi. EAP protokoli ChAP (Challenge Handshake Authentication Protocol - o’zaro autentifikatsiya protokoli) ga o’xshash. ChAP protokoli PPP da (Point to Point Protocol - "nuqta-nuqta" ulanish protokolida) ishlatiladi.
EAP autentifikatsiyaning turli usullarini ta’minlovchi autentifikatsiya, avtorizatsiya va ro’yxatga olish (authentication, authorization and accounting - AAA) tizimida "umumlashgan" protokol hisoblanadi.
AAA-mijoz (simsiz tarmoqda foydalanish serveri AAA atamalarida foydalanish nuqtasi orqali ifodalangan) EAP ni madadlaydi. EAP autentifikatsiya jarayonida mijoz va tarmoq tomonidan ishlatiluvchi muayyan usullarni tushunmasligi mumkin. Foydalanish serveri (AAA-mijoz) mijoz va server almashuvchi autentifikatsiya protokoli xabarlarini tunnellaydi. Foydalanish serverini faqat autentifikatsiya jarayonining boshlanishi va tugallanishi fakti qiziqtiradi.
Turli kompaniya - ishlab chiqaruvchilari ishtirokida loyixalangan EAP ning bir necha variantlari mavjud (EAP-MD5, EAP-TLS, EAP-LEAP, PEAP). Bunday xilma-xillik qo’shiluvchanlikka qo’shimcha muammolarni kelib chiqaradi, ya’ni simsiz tarmoq uchun munosib uskunani va dasturiy ta’minotni tanlash murakkab masala bo’lib qoladi.
IPSec protokoli simli va simsiz (mobil) tarmoqlarda muvaffaqiyatli ishlatiladi. Xavfsizlikni ta’minlash IP-sathida va Internet-modelda amalga oshiriladi. IPSec ni tatbiq etish usullaridan ko’p tarqalgani tunnellash bo’lib, u bitta sessiyada IP-trafikni shifrlash va autentifikatsiyalash imkonini beradi. IPSec hozirda Internetda ishlatiluvchi aksariyat virtual xususiy tarmoqlardagi (VPN - Virtual Private Network) asosiy texnologiya hisoblanadi (8.5-rasm). IPSec ning moslanuvchanligi va ilovalar tanlanishining kengligi sababli, ko’pchilik aynan bu sxemadan simsiz ilovalar xavfsizligini ta’minlashda foydalanadi.
8.5-rasm. IPSec VPN-tunnel
IPSec ni ilovalarga asoslangan qo’llanilishining juda ko’p imkoniyatlari mavjud. Xavfsiz kommunikatsiyalar uchun IPSec ning qo’llanilishi ko’pgina Internet orqali masofadan foydalanuvchi virtual xususiy tarmoq VPN bilan bog’liq. Qachonki, umumfoydalanuvchi tarmoq xususiy tarmoq funksiyalarini amalga oshirish uchun ishlatilsa, uni VPN deb atash mumkin. Bunday ta’rifga ATM (uzatishning asinxron usuli), Frame Relay va x.25 kabi tarmoq texnologiyalari ham tushadi, ammo aksariyat odamlar Internet orqali shifrlangan kanalni tashkil etish xususida gap ketganida VPN atamasini ishlatishadi. Korporativ tarmoq perimetri bo’yicha shlyuzlar o’rnatiladi va IPSec-tunneli orqali shlyuzdan masofadan foydalanish amalga oshiriladi.
9 bob. mobil kommersiyada
xavfsizlikni ta’minlash
Dostları ilə paylaş: |