Метод eap какой выбрать. Процедура аутентификации и согласования ключей

Тема безопасности беспроводных сетей по-прежнему остается актуальной, хотя уже достаточно давно существуют надежные (на сегодняшний момент, конечно же) методы защиты этих сетей. Разумеется, речь идет о технологии WPA (Wi-Fi Protected Access).

Большинство существующего на данный момент Wi-Fi оборудования имеет поддержку данной технологии, но, к сожалению, до сих пор в нашей лаборатории попадаются экземпляры, не знающие о WPA. Это более чем странно - заканчивается 2005 год, а некоторые производители до сих пор считают, что технология WEP спасет пользователей беспроводной сети от утечки информации. WEP уже давно устарела. На смену этой технологии пришел WPA, а также на горизонте виднеется новый стандарт 802.11i (некоторые производители преподносят его, как WPA2).

Технология WPA, призванная временно (в ожидании перехода к 802.11i) закрыть бреши WEP, состоит из нескольких компонентов:

  • протокол 802.1x - универсальный протокол для аутентификации, авторизации и учета (AAA)
  • протокол EAP - расширяемый протокол аутентификации (Extensible Authentication Protocol)
  • протокол TKIP - протокол временнОй целостности ключей, другой вариант перевода - протокол целостности ключей во времени (Temporal Key Integrity Protocol)
  • MIC - криптографическая проверка целостности пакетов (Message Integrity Code)
  • протокол RADIUS

За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования - RC4 - что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).

RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.

Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа - так называемый режим WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты тоже довольно секьюрен (относительно WEP), очень не удобен с точки зрения управления. PSK-ключ требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети и так далее. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.

В этой серии статей будет рассмотрена работа WPA совместно с внешним RADIUS-сервером. Но прежде чем перейти к ней, немного подробнее остановимся на механизмах работы WPA. А перед этим рассмотрим технологию WPA2.

Технология WPA являлась временной мерой до ввода в эксплуатацию стандарта 802.11i. Часть производителей до официального принятия этого стандарта ввели в обращение технологию WPA2, в которой в той или иной степени используются технологии из 802.11i. Такие как использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), взамен TKIP, в качестве алгоритма шифрования там применяется усовершенствованный стандарт шифрования AES (Advanced Encryption Standard). А для управления и распределения ключей по-прежнему применяется протокол 802.1x.

Как уже было сказано выше, протокол 802.1x может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» - то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства (будь то точка доступа или умный коммутатор) будет открыт и пользователь получит доступ к ресурсам сети.

Функции аутентификации возлагаются на протокол EAP, который сам по себе является лишь каркасом для методов аутентификации. Вся прелесть протокола в том, что его очень просто реализовать на аутентификаторе (точке доступа), так как ей не требуется знать никаких специфичных особенностей различных методов аутентификации. Аутентификатор служит лишь передаточным звеном между клиентом и сервером аутентификации. Методов же аутентификации, которых существует довольно много:

  • EAP-SIM, EAP-AKA - используются в сетях GSM мобильной связи
  • LEAP - пропреоретарный метод от Cisco systems
  • EAP-MD5 - простейший метод, аналогичный CHAP (не стойкий)
  • EAP-MSCHAP V2 - метод аутентификации на основе логина/пароля пользователя в MS-сетях
  • EAP-TLS - аутентификация на основе цифровых сертификатов
  • EAP-SecureID - метод на основе однократных паролей

рис.1, структура EAP-кадра

Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.

На рис.1 показана структура EAP кадра. Протокол PPP засветился там потому, что изначально EAP планировался к использованию поверх PPP туннелей. Но так как использование этого протокола только для аутентификации по локальной сети - излишняя избыточность, EAP-сообщения упаковываются в «EAP over LAN» (EAPOL) пакеты, которые и используются для обмена информацией между клиентом и аутентификатором (точкой доступа).


рис.2, 802.1x в действии

Схема аутентификации состоит из трех компонентов:

  • Supplicant - софт, запущенный на клиентской машине, пытающейся подключиться к сети
  • Authenticator - узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x)
  • Authentication Server - сервер аутентификации (обычно это RADIUS-сервер)

Теперь рассмотрим сам процесс аутентификации. Он состоит из следующих стадий:

  1. Клиент может послать запрос на аутентификацию (EAP-start message) в сторону точки доступа
  2. Точка доступа (Аутентификатор) в ответ посылает клиенту запрос на идентификацию клиента (EAP-request/identity message). Аутентификатор может послать EAP-request самостоятельно, если увидит, что какой-либо из его портов перешел в активное состояние.
  3. Клиент в ответ высылает EAP-response packet с нужными данными, который точка доступа (аутентификатор) перенаправляет в сторону Radius-сервера (сервера аутентификации).
  4. Сервер аутентификации посылает аутентификатору (точке доступа) challenge-пакет (запрос информации о подлинности клиента). Аутентификатор пересылает его клиенту.
  5. Далее происходит процесс взаимной идентификации сервера и клиента. Количество стадий пересылки пакетов туда-сюда варьируется в зависимости от метода EAP, но для беспроводных сетей приемлема лишь «strong» аутентификация с взаимной аутентификацией клиента и сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) и предварительным шифрованием канала связи.
  6. На следующий стадии, сервер аутентификации, получив от клиента необходимую информацию, разрешает (accept) или запрещает (reject) тому доступ, с пересылкой данного сообщения аутентификатору. Аутентификатор (точка доступа) открывает порт для Supplicant-а, если со стороны RADIUS-сервера пришел положительный ответ (Accept).
  7. Порт открывается, аутентификатор пересылает клиенту сообщение об успешном завершении процесса, и клиент получает доступ в сеть.
  8. После отключения клиента, порт на точке доступа опять переходит в состояние «закрыт».

Описанный процесс проиллюстрирован на рис.3 (там показан один из простейших методов EAP):


рис.3, процесс аутентификации

Как видно из рисунка, для коммуникации между клиентом (supplicant) и точкой доступа (authenticator) используются пакеты EAPOL. Протокол RADIUS используется для обмена информацией между аутентификатором (точкой доступа) и RADIUS-сервером (сервером аутентификации). При транзитной пересылке информации между клиентом и сервером аутентификации пакеты EAP переупаковываются из одного формата в другой на аутентификаторе.

Детальное рассмотрение алгоритмов шифрования, а также методы генерации сессионных ключей шифрования, пожалуй, выходят за рамки данного материала, поэтому рассмотрю их лишь вкратце.

Первоначальная аутентификация производится на основе общих данных, о которых знают и клиент, и сервер аутентификации (как то логин/пароль, сертификат и т.д.) - на этом этапе генерируется Master Key. Используя Master Key, сервер аутентификации и клиент генерируют Pairwise Master Key (парный мастер ключ), который передается аутентификатору со стороны сервера аутентификации. А уже на основе Pairwise Master Key и генерируются все остальные динамические ключи, которым и закрывается передаваемый трафик. Необходимо отметить, что сам Pairwise Master Key тоже подлежит динамической смене.

Теперь перейдем от сухой теории к реальности, а именно реализации WPA в Windows XP. Нормальная поддержка WPA (с поддержкой AES) появилась, только начиная с windows service pack 2.


рис.4

В закладке аутентификация доступны методы

  • MD5-Challenge - самый примитивный и слабый, рассматривать не будем;
  • PEAP (Protected EAP) позволяет производить аутентификацию на основе сертификатов или логина/пароля. Он нам интересен в первую очередь возможностью аутентификации пользователя, используя логин/пароль. При этом нам не требуется настраивать инфраструктуру открытых ключей (PKI). Достаточно подключить RADIUS-сервер к какой-либо базе (обычный файл, mysql, ldap) с хранящимися пользователями и производить аутентификацию пользователей по ней.
  • Smart Card or Other Certificate - обычный EAP-TLS. Требует настроенной PKI, использует сертификаты для аутентификации клиентов. Более гибок (разумеется, после настройки PKI), чем аутентификация по логину/паролю. А также является единственным способом получить работающую связку беспроводных пользователей, работающих в Windows-домене.

Во второй части статьи будет рассмотрена настройка Windows-клиентов (Windows XP SP2), RADIUS-сервера (FreeRadius), и PKI на основе OpenSSL. Последние два компонента работают в операционной системе Gentoo Linux.

Навигация

  • Часть первая - теоретически аспекты протокола WPA

Количество людей, которые активно пользуются интернетом растет, как на дрожжах: на работе для решения корпоративных целей и администрирования, дома, в общественных местах. Распространение получают Wi-Fi сети и оборудование, позволяющее беспрепятственно получать доступ к интернету.

Вай фай сеть обладает зашитой в виде пароля, не зная который, подключиться к конкретной сети будет практически невозможно, кроме общественных сетей (кафе, рестораны, торговые центры, точки доступа на улицах) . «Практически» не стоит понимать в буквальном смысле: умельцев, способных «вскрыть» сеть и получить доступ не только к ресурсу роутера, но и к передаваемым внутри конкретной сети данным, достаточно.

Но в этом вступительном слове мы поговорили о подключении к wi-fi — аутентификации пользователя (клиента), когда клиентское устройство и точка доступа обнаруживают друг друга и подтверждают, что могут общаться между собой.

Варианты аутентификации :

  • Open - открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared - подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP - подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Шифрование роутера: методы и их характеристики

Шифрование — это алгоритм скремблирования (scramble - шифровать, перемешивать) передаваемых данных, изменение и генерация ключа шифрования

Для оборудования wifi были разработаны различные типы шифрования, дающие возможность защищать сеть от взлома, а данные от общего доступа.

На сегодняшний день выделяются несколько вариантов шифрования. Рассмотрим каждый из них подробнее.

Выделяются и являются самыми распространенными следующие типы:

  • OPEN;
  • WPA, WPA2;

Первый тип, именуемый не иначе, как OPEN, все требуемую для познания информацию содержит в названии. Зашифровать данные или защитить сетевое оборудование такой режим не позволит, потому как точка доступа будет являться при условии выбора такого типа постоянно открытой и доступной для всех устройств, которыми она будет обнаружена. Минусы и уязвимости такого типа «шифрования» очевидны.

Если сеть открыта, это не значит, что любой может с ней работать. Чтобы пользоваться такой сетью и передавать в ней данные, нужно совпадение используемого метода шифрования. И еще одно условие пользования такой сетью отсутствие MAC-фильтра, который определяет MAC-адреса пользователей, для того, что бы распознать каким устройствам запрещено или разрешено пользоваться данной сетью

WEP

Второй тип, он же WEP, уходит корнями в 90-е годы прошлого века, являясь родоначальником всех последующих типов шифрования. Wep шифрование сегодня – слабейший из всех существующих вариантов организации защиты. Большинство современных роутеров, создаваемых специалистами и учитывающих интересы конфиденциальности пользователей, не поддерживают шифрование wep.

Среди минусов, вопреки факту наличия хоть какой-то защиты (в сравнении с OPEN), выделяется ненадежность: она обусловлена кратковременной защитой, которая активируется на определенные интервалы времени. По истечении этого промежутка, пароль к вашей сети можно будет легко подобрать, а ключ wep будет взломан за время до 1 минуты. Это обусловлено битностью wep ключа, которая составляет в зависимости от характеристик сетевого оборудования от 40 до 100 бит.

Уязвимость wep ключа заключается в факте передачи частей пароля в совокупности с пакетами данных. Перехват пакетов для специалиста – хакера или взломщика – задача, легкая для осуществления. Важно понимать и тот факт, что современные программные средства способны перехватывать пакеты данных и созданы специально для этого.

Таким образом, шифрование wep – самый ненадежный способ защиты вашей сети и сетевого оборудования.

WPA, WPA2

Такие разновидности – самые современные и совершенными с точки зрения организации зашиты на данный момент. Аналогов им не существует. Возможность задать любую удобную пользователю длину и цифробуквенную комбинацию wpa ключа довольно затрудняет жизнь желающим несанкционированно воспользоваться конкретной сетью или перехватить данные этой сети.

Данные стандарты поддерживают различные алгоритмы шифрования, которые могут передаваться после взаимодействия протоколов TKIP и AES. Тип шифрования aes является более совершенным протоколом, чем tkip, и большинством современных роутеров поддерживается и активно используется.

Шифрование wpa или wpa2 – предпочтительный тип как для домашнего использования, так и для корпоративного. Последний дает возможность применения двух режимов аутентификации: проверка паролей для доступа определенных пользователей к общей сети осуществляется, в зависимости от заданных настроек, по режиму PSK или Enterprise.

PSK предполагает доступ к сетевому оборудованию и ресурсам интернета при использовании единого пароля, который требуется ввести при подключении к роутеру. Это предпочтительный вариант для домашней сети, подключение которой осуществляется в рамках небольших площадей определенными устройствами, например: мобильным, персональным компьютером и ноутбуком.

Для компаний, имеющих солидные штаты сотрудников, PSK является недостаточно удобным режимом аутентификации, потому был разработан второй режим – Enterprise. Его использование дает возможность применения множества ключей, который будут храниться на особом выделенном сервере.

WPS

По-настоящему современная и , делает возможным подключение к беспроводной сети при помощи одного нажатия на кнопку. Задумываться о паролях или ключах бессмысленно, но стоит выделить и учитывать ряд серьезных недостатков, касающихся допуска к сетям с WPS.

Подключение посредством такой технологии осуществляется при использовании ключа, включающего в себя 8 символов. Уязвимость типа шифрования заключается в следующем: он обладает серьезной ошибкой, которая взломщикам или хакерам позволяет получить доступ к сети, если им доступны хотя бы 4 цифры из восьмизначной комбинации. Количество попыток подбора пароля при этом составляет порядка нескольких тысяч, однако для современных программных средств это число – смешное. Если измерять процесс форсирования WPS во времени, то процесс займет не более суток.

Стоит отметить и тот факт, что данная уязвимость находиться на стадии совершенствования и поддается исправлению, потому в последующих моделях оборудования с режимом WPS стали внедряться ограничения на количество попыток входа, что существенно затруднило задачу несанкционированного доступа для заинтересованных в этом лиц.

И тем не менее, чтобы повысить общий уровень безопасности, опытные пользователи рекомендуют принципиально отказываться от рассмотренной технологии.

Подводя итоги

Самой современной и по-настоящему надежной методикой организации защиты сети и данных, передаваемых внутри нее, является WPA или ее аналог WPA2.

Первый вариант предпочтителен для домашнего использования определенным числом устройств и пользователей.

Второй, обладающий функцией аутентификации по двум режимам, больше подходит для крупных компаний. Применение его оправдано тем, что при увольнении сотрудников нет необходимости в смене паролей и ключей, потому как определенное количество динамических паролей хранятся на специально выделенном сервере, доступ к которому имеют лишь текущие сотрудники компании.

Следует отметить, что большинство продвинутых пользователей отдают предпочтение WPA2 даже для домашнего использования. С точки зрения организации защиты оборудования и данных, такой метод шифрования является самым совершенным из существующих на сегодняшний день.

Что касается набирающего популярность WPS, то отказаться от него – значит в определенной мере обезопасить сетевое оборудование и информационные данные, передаваемые с его помощью. Пока технология не развита достаточно и не обладает всеми преимуществами, например, WPA2, от ее применения рекомендуется воздержаться вопреки кажущейся простоте применения и удобству. Ведь безопасность сети и передаваемых внутри нее информационных массивов – приоритет для большинства пользователей.

Комментарии 0 Authentication Protocol version 2 – Протокол аутентификации с предварительным согласованием вызова версии 2 компании Microsoft).
  • MS- CHAP (Microsoft Challenge Handshake Authentication Protocol ).
  • CHAP (Challenge Handshake Authentication Protocol ).
  • SPAP (Shiva Password Authentication Protocol – Протокол аутентификации пароля для клиентов Shiva).
  • PAP (Password Authentication Protocol ).
  • Неаутентифицированный доступ.

    • Эти методы аутентификации, показанные на рисунке 4.9 , можно найти в консоли управления RRAS, выбрав соответствующий сервер в правой панели и выбрав пункт Properties (Свойства). Затем во вкладке Security (Безопасность) щелкните на кнопке Authentication Methods (Методы аутентификации). Чтобы использовать нужные методы аутентификации, установите флажки рядом с названиями соответствующих методов.


    Рис. 4.9.

    EAP

    Протокол EAP – это расширение PPP, которое позволяет согласовывать произвольный метод аутентификации между удаленным клиентом и сервером. После создания соответствующего канала клиент и сервер согласовывают, какой тип механизма аутентификации EAP будет использоваться. К вариантам выбора относятся EAP -MD5, CHAP , EAP -TLS, смарт-карты и т.д. После принятия решения клиент использует выбранный механизм аутентификации для получения доступа к серверу RRAS и к сети.

    Как следует из названия EAP (Расширяемый протокол аутентификации), любое количество типов (методов) EAP может быть добавлено в любой момент. Чтобы увидеть, какие методы EAP вы используете на данный момент, выполните следующие шаги.

    1. Откройте консоль управления RRAS, выбрав Start/Programs/Administrative Tools (Пуск/Программы/Администрирование).
    2. В правой консоли щелкните на нужном сервере RRAS и выберите пункт Properties.
    3. Во вкладке Security щелкните на кнопке Authentication Methods , после чего появится окно Authentication Methods .
    4. Щелкните на кнопке EAP Methods (Методы EAP ), после чего вы увидите методы EAP , установленные на данный момент (см. рис. 4.10).

    Методы EAP . Система Windows Server 2003 может поддерживать любые типы методов EAP (например, смарт-карты) в виде встраиваемых модулей (plug-ins), но она автоматически предоставляет следующие два метода EAP .

    • EAP -MD5 CHAP . EAP - Message Digest 5 CHAP – это обязательный метод EAP , который поддерживает много одинаковых атрибутов с методом CHAP , но, кроме того, поддерживает отправку вызовов и ответов в виде сообщений EAP .
    • EAP -TLS ( EAP -Transport Level Security). Этот метод безопасности транспортного уровня осуществляет аутентификацию с помощью сертификатов. Данный метод является обязательным, если вы используете смарт-карты. EAP -TLS является в настоящее время наиболее сильным типом аутентификации, и для него требуется, чтобы сервер RRAS был членом домена. Он обеспечивает взаимную аутентификацию (аутентифицируются как клиент, так и сервер), шифрование, а также обмен секретными личными ключами .


    Рис. 4.10.
    CHAP

    CHAP , видимо, является наиболее употребительным протоколом аутентификации в настоящее время. RRAS Windows Server 2003 поддерживает три версии CHAP .

    • CHAP . Как отраслевой стандарт CHAP является протоколом аутентификации в форме "вызов-ответ", который поддерживает одностороннее шифрование ответов на вызовы. Для выполнения процесса аутентификации используются три шага. Сначала сервер направляет клиенту вызов, чтобы тот доказал свою идентичность. Затем клиент отправляет шифрованное сообщение CHAP в ответ на этот вызов. После этого сервер проверяет ответ, и если все правильно, то клиенту предоставляется доступ.
    • MS- CHAP . MS- CHAP – это модифицированная собственная версия CHAP от компании Microsoft. Главным отличием между MS- CHAP и CHAP в Windows Server 2003 является то, что пароль пользователя используется в обратной шифрованной форме.
    • MS-CHAPv2. Версия 2 MS- CHAP – это более сильный и более защищенный метод аутентификации, чем предыдущие реализации. К наиболее заметным отличиям относится то, что он больше не поддерживает NTLM (его можно использовать только с Windows Server 2003), он обеспечивает взаимную аутентификацию, а для отправки и приема данных используются отдельные криптографические ключи.
    SPAP

    Протокол аутентификации пароля для клиентов Shiva – это более старый, и, тем не менее, широко распространенный метод для дистанционного доступа. Клиенты, использующие программное обеспечение Shiva, должны аутентифицироваться с помощью SPAP. SPAP – это относительно простой метод аутентификации, с помощью которого происходит шифрование паролей, передаваемых через канал связи. Этот вариант аутентификации поддерживается системой Windows Server 2003 только для клиентов Shiva, которых вам, может быть, приходится обслуживать.

    PAP

    PAP (Протокол аутентификации пароля) не соответствует своему названию, поскольку это наименее защищенный из доступных в настоящее время методов аутентификации. Имя пользователя и пароль передаются через канал связи в виде нешифрованного текста. Любой злоумышленник, перехвативший данное соединение, может извлечь и использовать эту информацию для получения доступа к вашей сети. Поэтому использование PAP для аутентификации не рекомендуется.

    Неаутентифицированный доступ

    Этот вариант совершенно очевиден, и поэтому он не требует обсуждения. Ясно, что вам никогда не следует использовать этот вариант, если вы заинтересованы в защите вашей сети. Фактически этот вариант предоставляет открытый доступ любому, кто хочет подсоединиться дистанционным образом.

    Ответный вызов (Callback)

    Смысл этого термина следует из его названия. Удаленный клиент набирает номер сервера RRAS, после чего происходит проверка опознавательных данных этого клиента (пользовательское имя и пароль). После проверки опознавательных данных соединение прерывается, что позволяет серверу RRAS сделать ответный вызов удаленного клиента. Номер, по которому делает ответный вызов сервер RRAS, может быть указан во время начального вызова, или может потребоваться, чтобы сервер RRAS выполнил вызов по определенному номеру. Второй вариант является наиболее защищенным способом, поскольку он позволяет ограничить возможные источники удаленных соединений . Еще одним преимуществом обратного вызова является то, что он позволяет экономить затраты на соединение клиента.

    Идентификация вызова (Caller ID)

    Многие люди знакомы с идентификацией вызова, когда на дисплее телефона представлен номер телефона, с которого вам звонят. Ту же функцию можно применять к дистанционному доступу для повышения уровня безопасности.

    Идентификацию вызова можно использовать для проверки того, что удаленный клиент, набравший номер сервера RRAS, звонит с определенного заданного номера. Если клиент звонит не с этого номера, то соединение запрещается и происходит разъединение. Иногда оказывается, что телефонная компания не может снабдить вас номером вызывающей стороны, так как в некоторых местах POTS (обычная телефонная сеть) не может получать номер вызывающей стороны или вызывающая сторона блокировала свой номер, чтобы он не выводился на дисплее телефона. Если номер не может быть выведен на дисплее по какой-либо причине, то соединение отклоняется.

    Основы виртуальных частных сетей (VPN)

    О сетях VPN говорят очень много, но, что удивительно, они труднее всего для понимания среди понятий, касающихся Интернет и дистанционного доступа. Сети VPN известны уже много лет, но они не привлекали особого внимания до недавнего времени. Они стали поддерживаться Microsoft, начиная с реализации RRAS в Windows NT 4, и продолжают поддерживаться в RRAS Windows Server 2003.

    Путаница возникает в особенности из-за смысла слова "частные". Например, компании давно используют для своих отделений (филиалов) соединения через выделенные арендуемые линии. Это фактически частная сеть , которая расширена для связи с удаленными частями. Их также называют VPN через выделенную линию связи. ISP (поставщики услуг интернет ) или телефонные компании создают виртуальные каналы между различными местами. В этом случае имеется два типа виртуальных каналов: постоянные виртуальные каналы ( PVC ) и коммутируемые виртуальные каналы ( SVC ), которые обеспечивают частные соединения. Наиболее распространены PVC -каналы.

    Далее мы не будем рассматривать VPN через выделенные линии связи. RRAS поддерживает VPN через интернет . VPN через интернет – это средство, посредством которого два компьютера или две сети могут взаимодействовать частным (защищенным) образом через общую или открытую сеть , такую как интернет . Это также расширение вашей частной сети, но для него не требуется ISP или телефонная компания, чтобы получить для соединений отдельный дополнительный канал, и это потенциально экономит вам много денег. Сети VPN не ограничиваются соединениями между сайтами. Они также позволяют удаленным клиентам, находящимся в разъездах или работающим на дому, подсоединяться защищенным образом к сети компании. Например, удаленный клиент набирает номер для соединения со своим локальным ISP (экономя на телефонных расходах) и затем создает через интернет VPN -соединение с сетью своей компании.

    VPN придают безопасность и надежность соединению, которое иначе было бы незащищенным соединением через открытую сеть . VPN формируется на основе трех технологий, которые при совместном использовании образуют защищенное соединение. Это аутентификация, туннелирование и шифрование .

    Аутентификация

    Основной причиной аутентификации для VPN является необходимость метода, позволяющего гарантировать до начала сеанса VPN, что клиент и сервер соответствуют данным, с помощью которых они себя идентифицируют. Это не обязательно предусматривает обязательность взаимной аутентификации. Успешная аутентификация должна быть проведена до того, как будет создаваться туннель и передаваться данные, но используемый тип аутентификации зависит от типов клиентов в вашем окружении и выбранных вами методов аутентификации.

    Можно использовать любой из методов аутентификации, описанных выше в разделе "Защита соединений RRAS". Единственным недостатком является то, что если удаленные клиенты являются клиентами более ранних версий Windows, то они, возможно, не поддерживают протокол EAP . И действительно, клиенты Windows NT и Windows 9x не поддерживают этот протокол. Принимая решение, какой протокол использовать, помните, что важно обеспечить максимально возможный уровень аутентификации. Это означает, что нужно использовать такие протоколы аутентификации, как EAP , MS- CHAP или MS-CHAPv2.

    Туннелирование

    Туннелирование используется для инкапсуляции сетевых протоколов (TCP/IP, AppleTalk и NetBEUI ) в пакете IP, который может перемещаться через интернет. TCP/IP может перемещаться через интернет и сам по себе, но тогда он не будет частью туннеля или VPN. Туннель можно представить себе как путь, который прокладывает в земле крот для перемещения из одного места в другое.

    Прежде чем создать туннель, нужно убедиться, что две конечные точки соответствуют данным, с помощью которых они себя идентифицируют. После их аутентификации создается туннель и происходит пересылка информации между этими конечными точками, см. рис. 4.11 . Создание туннелей VPN в Windows Server 2003 происходит с помощью двух протоколов – PPTP и L2TP , которые описаны выше. L2TP является расширением относительно протокола туннелирования PPTP , и он использует аутентификацию и протокол шифрования IPSec.

    L2TP имеется только в версии RRAS для Windows 2000 и Windows Server 2003, и его могут использовать только клиенты Windows, начиная с Windows 2000. В таблице 4.4 описывается, какие клиенты поддерживают различные протоколы туннелирования. Вы можете добавить поддержку L2TP /IPSec к Windows 98, Windows Me и Windows NT 4, загрузив и установив L2TP /IPSec VPN Client с веб-сайта Microsoft.

    Шифрование

    Третьим основным компонентом VPN является шифрование. Шифрование это дополнительное превентивное средство, которое защищает данные, отправляемые через туннель. Данные шифруются перед инкапсуляцией, чтобы снизить риск их подделки в случае перехвата туннеля.


    Рис. 4.11.

    Windows Server 2003 поддерживает две технологии шифрования, Microsoft Point-to-Point Encryption ( MPPE ) и IPSec. В обеих моделях используется ключ шифрования для шифрования и дешифрования информации в точках отправки и получения. Вы можете потребовать, чтобы удаленные клиенты или сайты использовали любой из этих методов. Если они не используют указанный вами метод шифрования, то вы можете сконфигурировать RRAS, чтобы запретить данное соединение.

    Таблица 4.4. Клиенты и протоколы туннелирования, которые они поддерживают
    Клиент VPN Поддерживаемые протоколы туннелирования
    Windows Server 2003 PPTP , L2TP
    Windows XP PPTP ,

    Вопросы реализации VPN

    То, что сети VPN представляют наиболее передовые технологии для дистанционного доступа, не обязательно означает, что VPN являются подходящим решением для вашей ситуации. Прежде чем реализовать такое решение в вашем сетевом окружении Windows Server 2003, вы должны учесть следующие факторы.

    • Безопасность . Вопросы безопасности должны быть одним из наиболее важных факторов, влияющих на ваше решение использовать VPN. Вы должны задаться двумя вопросами. Во-первых, не будет ли VPN "излишеством" для типа информации, которую вы передаете? Например, вы можете просто отправлять неконфиденциальную электронную почту. Во-вторых, будет ли VPN удовлетворять вашим требованиям безопасности. В качестве примера обычно приводят государственные учреждения. Например, военные даже не будут рассматривать возможность использования VPN через открытую сеть, несмотря на уровень безопасности, который предполагает эта технология.
    • Финансовые вопросы . Начальные и текущие расходы на реализацию VPN в сетевом окружении Windows Server 2003 ничтожны по сравнению с арендуемыми линиями. VPN, несомненно, дает вам экономию средств, поскольку в настоящее время сайты и удаленные клиенты могут подсоединяться к сети компании защищенным образом без дополнительных расходов на оплату телефона и т.п. Ясно, что удаленные пользователи могли бы использовать номер 800 (код бесплатных звонков), но это не решает проблему в целом и все же требует существенных затрат.
    • Пропускная способность , Поскольку для сетей VPN требуется аутентификация и шифрование, скорость передачи данных (по определению) будет ниже, чем без них. При использовании VPN можно наблюдать снижение производительности от 30 до 50 процентов. Вам потребуется сравнить это снижение производительности с получаемым уровнем безопасности.

    Имеется довольно много факторов, которые требуется продумать, прежде чем реализовать VPN. Но если вы рассмотрели эти три вопроса, то будете более уверены в своем решении включать (или не включать) возможности VPN в свою сеть Windows Server 2003.

    Выбор варианта реализации VPN

    Имеются два основных типа реализации VPN: коммутируемое VPN-соединение (dial-up VPN) и соединение между сайтами (site to site). Сочетание этих двух типов можно определить как третий тип.

    • Коммутируемое VPN-соединение . Обычно удаленные клиенты набирают номер телефона своего локального провайдера услуг Интернет (ISP) и затем "звонят" на сервер VPN Windows Server 2003, чтобы установить VPN-соединение между этим сервером VPN и удаленным клиентом. Это дает экономию расходов на междугородние телефонные соединения для удаленного клиента, а также дает экономию в том месте, где находится сервер VPN, так как во многих случаях это позволяет избежать установки большого числа модемов и других устройств дистанционного доступа, используемых для соединений.
    • Соединение между сайтами . Этот вариант является наиболее распространенным вариантом реализации VPN. При этом сценарии вы используете два или более серверов VPN Windows Server 2003 для создания VPN между ними. Между этими двумя сайтами определяется защищенный обмен информацией. Пользователи любой из этих сетей могут взаимодействовать с другим удаленным сайтом.
    • Сочетание этих типов . В окружениях Windows Server 2003, где имеются как удаленные клиенты, так и сайты, можно создавать реализации VPN, которые могут обслуживать оба типа соединений.

    В этой статье содержится пример конфигурации аутентификации EAP (протокол расширенной аутентификации) беспроводных пользователей в локальной базе данных сервера RADIUS на точке доступа, работающей под управлением Cisco IOS®.

    Благодаря пассивной роли, которую играет точка доступа в EAP (она преобразует беспроводные пакеты клиентов в пакеты, передающиеся по проводам, и направляет их на сервер аутентификации, и наоборот), данная конфигурация используется практически со всеми методами EAP. Эти методы включают (но не ограничиваются) LEAP, защищенный EAP (PEAP)-MS-протокол взаимной аутентификации (CHAP) версии 2, PEAP-плата Generic Token (GTC), гибкая аутентификация EAP через безопасный туннель (FAST), EAP-протокол безопасности транспортного уровня (TLS) и EAP-Tunneled TLS (TTLS). Необходимо соответствующим образом настроить сервер аутентификации для каждого из методов EAP. Данная статья содержит только сведения по настройке точки доступа.

    Требования

    При проведении настройки могут понадобиться следующие знания:

    • Общее представление о Cisco IOS GUI или CLI.
    • Общее представление о концепции аутентификации EAP.

    Используемые компоненты

    • Точка доступа Cisco Aironet, работающая под управлением Cisco IOS.
    • Виртуальная LAN (VLAN), предположим, что в сети она только одна.
    • RADIUS сервер аутентификации, успешно выполняющий интеграцию в базу данных пользователя.
      • Cisco LEAP и EAP-FAST поддерживают следующие серверы аутентификации:
        • Сервер контроля доступа (ACS) Cisco Secure
        • Регистратор доступа Cisco (CAR)
        • Funk Steel Belted RADIUS
        • Interlink Merit
      • Microsoft PEAP-MS-CHAP версии 2 и PEAP-GTC поддерживают следующие серверы аутентификации:
        • Microsoft Internet Authentication Service (IAS)
        • Cisco Secure ACS
        • Funk Steel Belted RADIUS
        • Interlink Merit
        • Авторизацию могут выполнять любые другие серверы аутентификации Microsoft.
      Примечание: GTC или единоразовое введение пароля требуют подключения дополнительных служб, в свою очередь требующих наличия на стороне клиента и на стороне сервера дополнительного программного обеспечения, а также наличия аппаратного или программного генератора маркеров.
      • Необходимо проконсультироваться с производителем оборудования, установленного у клиента, чтобы уточнить при каких условиях сервера аутентификации, работающие по методам EAP-TLS, EAP-TTLS и другим EAP-методам, поддерживаются их продуктами.

    Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. В рабочей сети необходимо понимать последствия выполнения всех команд.

    Настройка

    Данная конфигурация предполагает настройку EAP-аутентификации на точке доступа, работающей под управлением IOS.

    Как большинство алгоритмов аутентификации, основанных на применении пароля, Cisco LEAP чувствителен к словарным атакам. Речь не идет о новом виде атаки или новом уязвимом месте Cisco LEAP. Для того, чтобы смягчить словарные атаки, необходимо разработать политику стойкого пароля. Это включает в себя использование устойчивых паролей и периодическую их смену.

    Сетевой EAP или открытая аутентификация с EAP

    При любом методе аутентификации, основанном на EAP/802.1x, может возникнуть вопрос о том каковы различия между сетевым EAP и открытой аутентификацией с EAP. Это относится к значениям в поле Authentication Algorithm в заголовках пакетов управления и связывания. Большинство производителей беспроводных клиентских устройств устанавливают значение этого поля равным 0 (открытая аутентификация), а затем сообщают о желании проводить аутентификацию EAP позднее, во время процесса ассоциации. В продуктах Cisco это значение задается по-другому, а именно с начала ассоциации с флагом сетевого протокола EAP.

    Если в сети есть клиенты, которые являются:

    • Клиентами Cisco – необходимо использовать сетевой EAP.
    • Клиентами стороннего производителя (в том числе продукты, совместимые с CCX) – необходимо использовать открытую аутентификацию с EAP.
    • Сочетанием клиентских устройств Cisco и сторонних производителей – необходимо выбрать и сетевой EAP и открытую аутентификацию с EAP.

    Определение сервера аутентификации

    Первым шагом в настройке EAP является определение сервера аутентификации и установление связи с ним.

    1. На закладке точки доступа Server Manager (пункт меню Security > Server Manager ), необходимо выполнить следующие действия:

    1. Ввести IP адрес сервера аутентификации в поле Server.
    2. Указать общий секретный ключ и порты.
    3. Нажать Apply для того, чтобы создать определение и заполнить выпадающие списки.
    4. Задать IP адрес сервера в поле Default Server Priorities > EAP Authentication type > Priority 1.
    5. Нажать Apply .


    AP#configure terminal

    AP(config)#aaa group server radius rad_eap

    AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646

    AP(config-sg-radius)#exit

    AP(config)#aaa new-model

    AP(config)#aaa authentication login eap_methods group rad_eap

    AP(config)#radius-server host 10.0.0.3 auth-port 1645
    acct-port 1646 key labap1200ip102

    AP(config)#end

    AP#write memory

    2. Точка доступа должна быть настроена на сервере аутентификации как ААА клиент.

    Например, на сервере контроля доступа Cisco Secure это настраивается на странице Network Configuration, на которой определены имя точки доступа, IP адрес, общий секретный пароль и метод аутентификации (RADIUS Cisco Aironet или RADIUS Cisco IOS/PIX). Для получения информации по серверам аутентификации, не принадлежащим к разряду серверов контроля доступа, обратитесь к документации их производителя.

    Необходимо убедиться в том, что сервер аутентификации настроен на применение желаемого метода аутентификации EAP. Например, для сервера контроля доступа Cisco Secure, применяющего LEAP, необходимо настроить аутентификацию LEAP на странице System Configuration - Global Authentication Setup. Нажать System Configuration , затем нажать Global Authentication Setup . Для получения информации по серверам аутентификации, не принадлежащим к разряду серверов контроля доступа, или другим методам EAP обратитесь к документации их производителя.

    На следующем рисунке показана настройка ACS Cisco Secure на применение PEAP, EAP-FAST, EAP-TLS, LEAP и EAP-MD5.

    Определение методов аутентификации клиента

    Как только точка доступа определит, куда необходимо отправить запрос на аутентификацию клиента, ее необходимо настроить на применение следующих методов.

    Примечание: Эти инструкции предназначены для установки, основанной на WEP.

    1. На закладке точки доступа Encryption Manager (пункт меню Security > Encryption Manager ) необходимо выполнить следующие действия:

    1. Указать использование WEP encryption .
    2. Указать, что использование WEP является обязательным Mandatory .
    3. Убедиться в том, что для размера ключа установлено значение 128-bits .
    4. Нажать Apply .

    Также можно выполнить из CLI следующие команды:

    AP#configure terminal

    Enter configuration commands, one per line. End with CNTL/Z.

    AP(config)#interface dot11radio 0

    AP(config-if)#encryption mode wep mandatory

    AP(config-if)#end

    AP#write memory

    2. Выполнить следующие действия на закладке точки доступа SSID Manager (пункт меню Security > SSID Manager ):

    1. Выбрать желаемый SSID.
    2. В пункте "Authentication Methods Accepted," установить флажок Open и использовав выпадающий список выбрать With EAP .
    3. Установить флажок Network-EAP при наличии клиентской карты Cisco.
    4. Нажать Apply .

    Также можно выполнить из CLI следующие команды:

    AP#configure terminal

    Enter configuration commands, one per line. End with CNTL/Z.

    AP(config)#interface dot11radio 0

    AP(config-if)#ssid ssid labap1200

    AP(config-if-ssid)#authentication open eap eap_methods

    AP(config-if-ssid)#authentication network-eap eap_methods

    AP(config-if-ssid)#end

    AP#write memory

    Как только правильная работа основной функциональной возможности с основной настройкой EAP будет подтверждена, можно будет добавить дополнительные функциональные возможности и управление ключами. Расположите более сложные функции на вершине функциональной базы для того, чтобы сделать поиск и устранение неисправностей легче.

    Проверка

    В данном разделе содержатся сведения, которые могут быть использованы при проверке работы конфигурации.

    Некоторые команды show поддерживаются инструментом Output Interpreter Tool (только для зарегистрированных пользователей), который позволяет просмотреть анализ выходных данных команды show .
    show radius server-group all – Выводит список всех настроенных групп RADIUS-серверов на точке доступа.

    Поиск и устранение неисправностей

    Процедура поиска и устранения неисправностей

    Для того, чтобы осуществить поиск и устранение неисправностей в своей конфигурации, необходимо выполнить следующие действия.

    1. В утилите на стороне клиента или в программном обеспечении необходимо создать новый профиль или соединение с теми же или похожими параметрами для того, чтобы убедиться в том, что в настройках клиента ничего не было повреждено.
    2. Для того, чтобы исключить возможность влияния радиочастотных помех на успешную аутентификацию, необходимо временно отключить аутентификацию при помощи показанных ниже действий:
    3. Из CLI выполнить команды no authentication open eap eap_methods, no authentication network-eap eap_methods и authentication open .
    4. Из GUI на странице SSID Manager необходимо снять флажок Network-EAP , установить флажок Open и установить выпадающий список обратно в No Addition .
      5. Если клиент будет успешно сопоставлен, то радиочастота не вызовет проблем сопоставления.
    5. Необходимо убедиться в том, что общие секретные пароли синхронизированы между точкой доступа и сервером аутентификации.
    6. Из CLI выбрать строку radius-server host x.x.x.x auth-port x acct-port x key .
    7. Из GUI на странице Server Manager повторно ввести общий секретный ключ для соответствующего сервера в поле "Shared Secret."
      8. Общая секретная запись для точки доступа на RADIUS сервере должна содержать тот же общий секретный пароль, который упоминался ранее.
    8. Удалите все группы пользователей с сервера RADIUS. Иногда могут возникать конфликты между группами пользователей, определенными RADIUS-сервером, и группами пользователей на базовом домене. Проверьте записи журнала сервера RADIUS на предмет неудачных попыток и причин, по которым эти попытки были неудачными.

    Команды поиска и устранения неисправностей

    Некоторые команды show поддерживаются средством Output Interpreter Tool (только для зарегистрированных пользователей), что позволяет просматривать результаты выполнения команды show .

    Раздел Отладка аутентификации содержит значительное количество подробностей того, как можно собрать и интерпретировать выходные данные команд отладки, связанных с EAP.

    Примечание: Перед тем, как выполнять команды debug , необходимо ознакомиться с разделом Важная информация о командах отладки .

    • debug dot11 aaa authenticator state-machine – Выводит основные разделы (или состояния) согласования между клиентом и сервером аутентификации.
      Примечание: В программном обеспечении Cisco IOS релизов, предшествующих 12.2(15)JA, синтаксис команды debug является следующим debug dot11 aaa dot1x state-machine .
    • debug dot11 aaa authenticator process – Выводит единичные записи диалогов согласования между клиентом и сервером аутентификации.
      Примечание: В программном обеспечении Cisco IOS релизов, предшествующих 12.2(15)JA, синтаксис команды отладки следующий debug dot11 aaa dot1x process .
    • debug radius authentication – Выводит согласования RADIUS между сервером и клиентом, связанными мостом с точкой доступа.
    • debug aaa authentication – Выводит согласования ААА для аутентификации между клиентским устройством и сервером аутентификации.

    Есть вопросы?
    Обращайтесь в "Аквилон-А", чтобы узнать подробности и получить именно то, что вам требуется.

    Рассмотрим несколько методов аутентификации беспроводной сети WLAN, а именно: открытую аутентификацию, PSK и EAP.

    Открытая аутентификация

    По умолчанию аутентификация беспроводных устройств не требуется. Всем устройствам разрешено устанавливать соединения независимо от их типа и принадлежности. Это называется открытой аутентификацией . Открытая аутентификация должна использоваться только в общедоступных беспроводных сетях, например, в школах и интернет-кафе (ресторанах). Она может использоваться в сетях, где аутентификация будет выполняться другими средствами после подключения к сети.

    Предварительно согласованный ключ (PSK)

    При использовании режима PSK точка доступа и клиент должны использовать общий ключ или кодовое слово. Точка доступа отправляет клиенту случайную строку байтов. Клиент принимает эту строку, шифрует ее (или скремблирует), используя ключ, и отправляет ее обратно в точку доступа. Точка доступа получает зашифрованную строку и для ее расшифровки использует свой ключ. Если расшифрованная строка, принятая от клиента, совпадает с исходной строкой, отправленной клиенту, то клиенту дается разрешение установить соединение.

    В этом случае выполняется односторонняя аутентификация, т.е. точка доступа проверяет реквизиты подключаемого узла. PSK не подразумевает проверки узлом подлинности точки доступа, а также не проверяет подлинности пользователя, подключающегося к узлу.

    Расширяемый протокол аутентификации (EAP)

    EAP обеспечивает взаимную или двухстороннюю аутентификацию, а также аутентификацию пользователя. Если на стороне клиента установлено программное обеспечение EAP, клиент взаимодействует с внутренним сервером аутентификации, таким как служба удаленной аутентификации пользователей с коммутируемым доступом (RADIUS ). Этот внутренний сервер работает независимо от точки доступа и ведет базу данных пользователей, имеющих разрешение на доступ в сеть. При применении EAP пользователь, а не только узел, должен предъявить имя и пароль, которые затем проверяются по базе данных сервера RADIUS. Если предъявленные учетные данные являются допустимыми, пользователь рассматривается как прошедший аутентификацию.

    Похожие статьи