pixx/WifiBP
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

add 802.1X

Browse Source
This commit is contained in:
David Zálešák
2024-11-26 13:29:32 +01:00
parent 9baab5be9d
commit 305ee0c918
6 changed files with 84 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files

44
chapters/site.tex
View File

@@ -106,6 +106,8 @@ Aby bylo možné jednotlivé zařízení přiřazovat do různých logických s
\textbf{Access port}\footnote{přístupová port} je port sloužící k~připojení jednotlivých zařízení. Provoz je bez IEEE~802.1Q tagu, tag bývá přiřazen na přepínači.
Vlán portu muže být přidělena staticky, podle MAC adresy zařízení, podle IP adresy zařízení nebo z~autorizačního serveru.\citep{samuraj_vlan}
\iffalse
\section{Taxonomie počítačových sítí}
@@ -135,7 +137,7 @@ Aby bylo možné jednotlivé zařízení přiřazovat do různých logických s
% ==================================================================================================================
\section{Základní síťové prvky}
Počítačové sítě jsou tvořeny technickými prostředky (síťovými prvky). \textbf{Pasivní síťové prvky} nemanipulují s~přenášenými daty a nezasahují do přenášených dat. Nevyžadují externí napájení. Aktivní síťové prvky vyžadují externí napájení a manipulují s~přenášenými daty a mohou do nich i zasahovat. \textbf{Aktivní síťové prvky} nabízejí různou funkcionalitu podle které se dále rozlišují.
Počítačové sítě jsou tvořeny technickými prostředky (síťovými prvky). \textbf{Pasivní síťové prvky} nemanipulují s~přenášenými daty a nezasahují do přenášených dat. Nevyžadují externí napájení. Aktivní síťové prvky vyžadují externí napájení a manipulují s~přenášenými daty a mohou do nich i zasahovat. \textbf{Aktivní síťové prvky} nabízejí různou funkcionalitu, podle které se dále rozlišují.
\textbf{Aktivní síťové prvky:}
\begin{itemize}
@@ -162,11 +164,47 @@ Mezi dnes již málo používané aktivní síťové prvky lze zařadit:
% ==================================================================================================================
\section{802.1X}
802.1X je standard vydaný IEEE\footnote{Institute of Electrical and Electronics Engineers} který v~obecné rovině zavádí a popisuje možnosti řízení přístupu k~přenosovému médiu. Nedefinuje žádné komunikační protokoly a celou problematiku popisuje pouze v~obecné rovině.
802.1X je standard vydaný organizací IEEE\footnote{Institute of Electrical and Electronics Engineers} pro zabezpečení přístupu do sítě. Tento standard zvyšuje bezpečnost tím, že zajišťuje autorizaci uživatelů sítě. Přístup je kontrolován na linkové vrstvě ISO/OSI modelu.
\begin{figure}
\centering
\includegraphics[width=0.8\textwidth]{images/radius.png}
\caption{Průběh 802.1X / RADIUS autentizace.\citep{stankus_8021x}}
\label{fig:radius}
\end{figure}
V~architektůře autentizace pomocí IEEE 802.1X jsou tři hlavní prvky. Prvním je samotný klient (tzv. suplikant), druhý je switch/přístupový bod (autentifikátor) a třetím je autentizační server.
Suplikant komunikuje s~autentifikátorem pomocí EAP (Extensible Authentication Protocol) zpráv, které jsou specifikovány RFC 2284. Pro přenos EAP v~prostředí Ethernetu slouží EAPoE (EAP over Ethernet), kde EAP rámce používají EtherType \verb|0x888E|.
Autentifikátor komunikuje s~autentizačním serverem pomocí jednoho z~AAA protokolů (Authentication, Authorization, Accounting - autentizace, autorizace, účtování), které se \textit{používájí se pro zajištění zabezpečení síťové infrastruktury}. Mezi nejvíce používané patří RADIUS, TACACS, TACACS+,
KERBEROS a DIAMETER.\citep{stankus_8021x}
Po připojení klienta (suplikanta) do sítě je veškerý síťový provoz na portu blokován, dokud není dokončena autentizace Autentifikátor akceptuje pouze EAPoL zprávy. Klient (suplikant) zahájí komunikaci s~autentifikátorem \textbf{EAPoL-Start}, kterou zahájí autentizační proces. Autentifikátor vyzve klienta (suplikant) zprávou \textbf{EAP-Request/Identity} ke sdělení identity. Klient odpoví zprávou \textbf{EAP-Response/Identity}, která obsahuje jeho identifikaci (například uživatelské jméno). Tuto zprávu autentifikátor předá autentizačnímu serveru jako \textbf{RADIUS Access-Request}.
Autentizační server může odpovědět výzvou k~zadání dalšího ověření (hesla) pomocí \textbf{RADIUS Access-Challenge}, tento proces pokračuje dokud server neověří klientovu identitu. Po úspěšném ověření identity server odpoví zprávou \textbf{RADIUS Access-Challenge}, kterou autentifikátor předá jako \textbf{EAP-Success} a povolí klientovi přístup k~síti. Tento proces je znázorněn na obrázku \ref{fig:radius}.
Identita uživatele může být uložena v~databázi autorizačního serveru, v~externí databázi, v~systému pro správu identit, nebo na jiném autorizačním serveru.
EAP nezajišťuje šifrování ani ochranu přenášených dat. Toto mají na starosti konkrétní autentizační metody. Mezi nejrozšířenější metody patří:
\begin{itemize}
\item \textbf{EAP-TLS}: používá pro vzájemnou autentizaci certifikáty klienta a serveru.
\item \textbf{PEAP}: Vytváří šifrovaný tunel TLS, uvnitř tunelu probíhá sekundární autentizace npř. pomocí MS-CHAPv2. Vyžaduje certifikát pouze na straně serveru.
\item \textbf{EAP-TTLS}: Funguje podobně jako PEAP, nabízí více možností sekundární autentizace (PAP, CHAP, nebo MS-CHAPv2).\citep{networkencyclopedia_eap}
\end{itemize}
% ------------------------------------------------------------------------------------------------------------------
\subsection{eduroam}
eduroam je mezinárodní projekt s~cílem umožnit studentům a pracovníkům vzdělávacích a výzkumných institucí jednoduchý, bezpečný a spolehlivý přístup k~veřejné síti Internet v~parcipiující institucích kdekoli na světě. Přístup k~internetu je zařízením umožněň pomocí Wi-Fi nebo ethernetovéh rozhraní. eduroam využívá specifikace 802.1X pro udělení či zamítnutí přístupu. Parcipiující instituce využívají jednotný identifikátor Wi-Fi sítě \verb|eduroam| nebo \verb|eduroam-| dopněný názvem instutuce.
eduroam je mezinárodní projekt s~cílem umožnit studentům a pracovníkům vzdělávacích a výzkumných institucí jednoduchý, bezpečný a spolehlivý přístup k~veřejné síti Internet v~parcipiující institucích kdekoli na světě. Parcipiující instituce využívají jednotný identifikátor Wi-Fi sítě \verb|eduroam|. Přístup k~internetu je zařízením umožněň pomocí Wi-Fi nebo ethernetového rozhraní. eduroam využívá specifikace 802.1X pro udělení či zamítnutí přístupu.
\begin{figure}
\centering
\includegraphics[width=0.5\textwidth]{images/hierachicka_infrastruktura.png}
\caption{Hierachické uspořádání autentizačních serverů.\citep{eduroam_realm}}
\label{fig:eduroam}
\end{figure}
K~tomu využívá hierachické uspořádání auntetizačních serverů RADIUS (obrázek \ref{fig:eduroam}), kde každá spravující své identity provozuje svůj autentizační server.
Tímto se snaží napodobit roaming (přepnutí ze síťě jednoho operátora do sítě jiného operátora) v~celulárních síťích.