Jak spravovat vzdálený přístup do sítě

Minule jsme si ujasnili, jaká bezpečnostní rizika mohou vyplývat, pokud uživatelé přistupují k podnikové síti vzdáleně, např. z domova. Řízení přístupu je pro to velmi důležité zejména pro tuto kategorii uživatelů. Jedním z řešení je RADIUS.

V minulém článku jsme nakousli problematiku řízení přístupu, v rámci něhož primárně probíhá autentizace, ale běžně následuje také autorizace a účtování (AAA).

Kategorie autentizačních metod

Co znám: asi nejklasičtější kategorie, protože používá hesla. Patří sem hesla v podobě textových řetězců, PINů apod. Nebezpečím u hesel je zapomenutí nebo krádež. Člověk má pak pouze dvě možnosti: pečlivě volit hesla tak, aby byla skutečně (téměř) neuhádnutelná (např. hesla o dostatečné délce, kde se znaky nesmí opakovat a kde musejí být přítomna jak čísla,

 tak nealfanumerické znaky, velká a malá písmena a nesmí se jednat o slova ze slovníku), a ještě je často měnit. Nebo se musí smířit s tím, že heslo může uhádnout kdokoli, kdo si o něm něco trochu zjistí (o rodině, pracovišti, zálibách apod.). Vzhledem k tomu, že v prvním zmiňovaném případě si uživatel dbající na bezpečnostní kvalitu hesla ale heslo není schopen zapamatovat po jeho omezenou dobu působnosti, někam si ho obvykle poznamená a díra v bezpečnosti je na světě.

Co mám: kategorie nejnáchylnější na narušení. Jakmile se totiž mám prokazovat něčím, co vlastním, v okamžiku, kdy to ztratím nebo mi to někdo ukradne, mám dvojnásobnou smůlu: zloděj mne může připravit o peníze, data, cokoli jemu užitečného a já se ke svým prostředkům, datům, čemukoli pro mne nepostradatelnému již nedostanu. Obecně se objekty používané pro autentizaci označují jako memory tokens nebo smart tokens. Typickým příkladem autentizace tohoto typu jsou magnetické nebo čipové karty (smart cards). Karty mohou obsahovat potřebné údaje pro identifikaci nositele karty, které následně slouží pro jednoznačnou identifikaci. Karta vyžaduje na straně autentizujícího subjektu speciální čtecí zařízení. Karty se většinou zabezpečují ještě hesly (PIN), čímž se odolnost této metody vůči narušitelům výrazně zvyšuje. Zloděj pak potřebuje nejen kartu, ale také PIN, a získat tuto kombinaci je obtížnější než u předchozí kategorie zabezpečení pouze hesly.

Kdo jsem: zatím nejbezpečnější způsob, který nezatěžuje uživatele a přitom jeho identitu chrání před nejrůznějšími nekalými živly. Každý člověk je unikát, takže musí existovat alespoň jedna charakteristika, která každého jedince mezi několika miliardami všech obyvatel na zemi jednoznačně identifikuje. Může to být DNA, řetězec aminokyselin, který je u každého z nás jedinečný a natolik komplikovaný, že jeho různé kombinace vystačí na všechny lidské obyvatele Země. Jedinečných charakteristik je ale více, z fyzických charakteristik lze použít otisky prstů, strukturu oční duhovky, rozprostření žil na zápěstí; z charakteristik chování pak hlas, způsob podpisu či způsob chůze. Těchto charakteristik se využívá v biometrické autentizaci. Její síla netkví v utajení informací používaných pro autentizaci, ale v jedinečnosti těchto informací, které se jen obtížně falšují. Navíc oproti dvěma standardně využívaným kategoriím autentizace se jedinečné charakteristiky mohou jen obtížně duplikovat (i když digitalizované záznamy těchto charakteristik nemusí být tak přesné), ale hlavně málokdo ztratí nebo zapomene hlas nebo duhovku. Biometrická autentizace se pro větší účinnost (multifactor authentication) kombinuje s předchozími dvěma kategoriemi (např. s kartou a PIN). O biometrické autentizaci budeme podrobněji hovořit někdy příště.

Autentizace spolu s autorizací a účtováním

Po úspěšné autentizaci uživatele může být udělena autorizace pro užívání síťových zdrojů a služeb. Autorizace specifikuje, jaké operace uživatelé mohou v systému provádět a jaká data jsou pro ně dostupná. Poslední složka architektury ochrany systému je účtování, které zodpovídá za záznam všech činností uživatele v systému. V rámci architektury AAA pracují nejčastěji systémy TACACS a RADIUS.

TACACS (Terminal Access Controller Access Control System; RFC 1492) umožňuje ověřit každého uživatele na individuální bázi před přístupem ke směrovači nebo komunikačnímu serveru. TACACS lze používat ve spolupráci se systémem Kerberos (RFC 1510, RFC 3279-3281). Uživatel nejprve od serveru systému Kerberos získá podklady pro autentizaci, aniž by se heslo přenášelo v síti, a na jejich základě se pak autentizuje přístupovému serveru, kdykoli potřebuje vzdálený přístup.

Rozšířený systém TACACS+  již podporuje všechny tři složky architektury AAA prostřednictvím autentizace při přihlášení se do systému (dialog mezi uživatelem a systémem pro ověření jména a hesla), autorizace (např. automatickým navázáním spojení se serverem a protokolem, který je uživateli dovoleno využívat) a shromáždění údajů o využívání systému uživatelem.

RADIUS (Remote Authentication Dial-In User Service, RFC 2865) v sobě zahrnuje všechny tři složky architektury AAA. V první řadě RADIUS zodpovídá, podobně jako systém TACACS, za ověření uživatelů před přístupem do sítě. RADIUS pracuje na principu klient-server a má tři složky: protokol, servery pro autentizaci (RADIUS server) a klienty (přístupové servery, NAS, Network Access Server). Protokol komunikace mezi servery a klienty využívá transportního protokolu UDP (User Datagram Protocol). Transakce mezi serverem a klienty se autentizují prostřednictvím sdíleného hesla (secret), které se nikdy nepřenáší v síti. Hesla uživatelů se posílají mezi klienty a serverem zašifrovaná.

Typická komunikace při použití RADIUS probíhá následovně:

¨      vzdálený uživatel naváže spojení se serverem NAS (může jím být také přepínač nebo bezdrátový přístupový bod), který od uživatele požaduje jméno a heslo;

¨      na základě obdržení jména a hesla uživatele vyšle NAS serveru RADIUS žádost RADIUS ACCESS_REQUEST;

¨      požadavek se vyšle na server RADIUS, komunikace může probíhat přes lokální nebo rozlehlou síť, pokud daný server neodpovídá, může se využít alternativní RADIUS server;

¨      server RADIUS ověří požadavek a správnost uživatelského jména a hesla na základě výzvy a odpoví zprávou obsahující povolení/zákaz přístupu pro daného klienta do sítě, RADIUS ACCESS_ACCEPT/DENY;

Rozdíly mezi systémy RADIUS a TACACS jsou uvedeny v tabulce.

Tabulka: Rozdíly mezi mechanizmy autentizace uživatelů pro vzdálený přístup

TACACS+	RADIUS
využívá transportního protokolu TCP	využívá transportního protokolu UDP
provádí šifrování celého paketu	šifruje pouze heslo
nezávislé na architektuře AAA	kombinace autentizace a autorizace
hesla v databázi mohou být zašifrovaná	hesla v databázi jsou nezašifrovaná

Protože RADIUS byl navržen pro přístup uživatelů po vytáčeném spojení, pomocí protokolů SLIP nebo PPP, nedá se jednoduše rozšířit pro současné potřeby mobilních uživatelů, kteří do sítě chtějí přistupovat např. po bezdrátové mobilní síti (z mobilních koncových zařízení). Proto se vytvořil nový systém pod názvem Diameter (RFC 3588). Ten má být schopen autentizovat více typů uživatelů a současně zůstat slučitelný se systémem RADIUS.

Diameter je podobně jako RADIUS protokol typu AAA zajišťující kromě autentizace také autorizaci a účtování. Podobně také využívá dvojic atribut-hodnota (AVP, Attribute Value Pairs), jako pár „uživatelské jméno“ a „Joe“ nebo „heslo“ a „x9PaucVW“. Server vyzve uživatele k doplnění dvojice atributů, např. na dotaz „uživatelské jméno“ očekává od uživatele odezvu ve formě „Joe“. Na základě uživatelského jména vyzve server uživatele k doplnění hesla. Pokud odpověď vyhovuje zadané dvojici atributů, uživatel je autentizován.

Řízení přístupu podle 802.1x

IEEE 802.1x-2001 (Port Based Network Access Control) je známý mechanizmus především z oblasti Wi-Fi, ale ve skutečnosti se jedná o obecný bezpečnostní rámec pro jakoukoli LAN. Zahrnuje silnou vzájemnou autentizaci uživatelů, integritu zpráv (šifrováním) a distribuci klíčů. Protokol 802.1x má za cíl blokovat přístup neoprávněných uživatelů k segmentu lokální sítě. Vzájemná autentizace probíhá mezi uživatelem a autentizačním serverem, kteří se vzájemně autentizují. Využívá se dynamické generování klíčů, na uživatele a pro relaci. Dynamické klíče jsou známy pouze dané stanici, mají omezenou životnost a používají se k šifrování rámců na daném portu, dokud se stanice neodhlásí nebo neodpojí.

V procesu autentizace podle 802.1x hrají úlohu tři entity: žadatel (obvykle bezdrátová stanice), autentizátor (přístupový bod) a autentizační server (nejčastěji se jedná o server RADIUS). Po úspěšné autentizaci 802.1x následuje fáze managementu klíčů.

802.1x je založený na Extensible Authentication Protocol (EAP), který podporuje více autentizačních metod (např. EAP-TLS, EAP- Transport Layer Security, či PEAP, Protected EAP).

Příště se podíváme na ideální řešení vzdáleného přístupu – pomocí bezpečných tunelů VPN.

Zdroje

Specifikace internetové komunity RFC (Request For Comments) lze volně stáhnout ve formátu .txt z internetu buď vyhledáním na stránkách IETF nebo přímo od RFC editora zadáním čísla RFC.

1. 9. 2006

Autor: Ing. Rita Pužmanová, CSc., MBA