Поддержка инфраструктуры PKI с помощью протокола ЕАР

Можно ли использовать цифровые сертификаты при аутентификации пользователя с помощью протокола ЕАР? Инфраструктура общедоступных ключей (Public Key Infrastructure — PKI) использует такие цифровые сертификаты. Она предназначена для работы с асимметричными криптографическими ключами с целью обеспечить достоверность передаваемых данных. Эти данные могут быть данными аутентификации для конкретного пользователя и конкретного применения, которые действительны только на определенный период времени.

Два разрабатываемого в настоящее время стандарта протокола ЕАР используют цифровые сертификаты EAP-TLS и РЕАР. Каждый из них имеет свои перспективы. Нельзя сказать, чтобы какой-либо из них был лучше или хуже другого. Однако, каждый из этих методов имеет присущие ему ярко выраженные свойства и соответствует различным требованиям. По самой своей природе использование цифровых сертификатов для аутентификации пользователя представляет некоторую сложность. В настоящее время возрастают требования к новым реализациям протокола ЕАР и в последующих двух разделах обсуждаются новые расширения этого протокола.

Безопасность протокола ЕАР на транспортном уровне (EAP-Transport Layer Security— EAP-TLS)

Безопасность на транспортном уровне (Transport Layer Security — TLS) представляет собой новейшую версию группы IETF для протокола безопасного уровня сокета (Secure Socket Layer—SSL). Протокол TLS представляет собой версию 3.0 протокола SSL. Протокол TLS аутентифицирует пользователя, как для сервера аутентификации, так и для клиента. Каждый из них использует свой частный ключ и сертификат для проверки своего партнера по связи. Сначала сервер посылает свои идентификационные данные. Клиент проверяет сертификат с помощью надежного сервера проверки полномочий сертификата (Certificate Authority — СА). После того как произошла идентификация сервера клиентом, последний посылает свой сертификат серверу для идентификации пользователя, пытающегося пройти аутентификацию. Сервер проверяет действительность сертификата на своем СА-сервере для подтверждения полномочий пользователя. Такая проверка известна как взаимная аутентификация. При этом каждая сторона проверяет аутентичность другой стороны для того, чтобы получить положительный результат проверки ЕАР, не передавая пароли по каналу.

Защищенный протокол ЕАР (Protected ЕАР—РЕАР)

Защищенный протокол ЕАР (Protected ЕАР — РЕАР), использует те же принципы, что и протокол EAP-TLS. Однако, при использовании РЕАР аутентификация имеет несколько иной характер. PKI используется только для аутентификации клиентом сервера. Этот процесс называется сертифицированием со стороны сервера. Такой тип аутентификации преследует три цели. Во-первых, это позволяет клиенту сделать запрос серверу с тем, чтобы последний доказал свою идентичность с сертификатом. Это во многом напоминает любой общедоступный Web-сайт, который использует протокол SSL. Когда пользователь посещает Web-сайт с использованием протокола SSL (HTTPS в браузере), от сервера требуется предоставить свой сертификат для доказательства, что он является узлом, с которым пытаются установить соединение. Второй целью использования протокола РЕАР является достижение большей гибкости в аутентификации пользователя. Иногда бывает непрактичным выпускать отдельный сертификат для каждого клиента, который последствии будет использоваться для его аутентификации. Протокол РЕАР позволяет использовать альтернативные методы аутентификации со стороны пользователя, включая ОТР-пароли.

Третьей и последней целью использования сертификата со стороны сервера является зашифровка сеанса с помощью сертификата сервера до того, как пользователь направит свое имя серверу. Это предотвращает ситуацию, когда атакующие извлекают имя пользователя из пакета аутентификации.

Реализации протокола ЕАР

Теперь, когда описан протокол ЕАР и его различные расширения, можно рассмотреть различные приложения этого мощного механизма аутентификации. Сфера использования этого протокола все время расширяется. Протокол ЕАР был введен в модели аутентификации при беспроводном доступе. Преимущества обязательной аутентификации на 2-м уровне для доступа к сети очевидны. Использование этого механизма не позволяет узлам получать адрес 3-го уровня до окончания аутентификации. Эта концепция была расширена на среды LAN-коммутации. Использование протокола ЕАР для управления доступом к порту коммутатора на 2-м уровне позволяет сетевым администраторам иметь полный контроль над тем, какие пользователи получают право на доступ к локальной сети LAN. Кроме того, этот метод аутентификации обеспечивает средства контроля сети VLAN пользователя, независимо от физического порта коммутатора. Для поддержки атрибутов такого административного контроля системные администраторы используют службу RADIUS.

В дополнение к этим реализациям, протокол ЕАР был расширен на методы удаленного доступа. Протокол ЕАР может быть применен к традиционным соединениям удаленного доступа, а также к соединениям VPDN в тех случаях, когда конечной точкой является маршрутизатор. От сервера NAS требуется только поддержка протокола ЕАР как одного из типов РРР-аутентификации. Как уже говорилось ранее, метод аутентификации, используемый в протоколе ЕАР, не обязательно должен поддерживаться самим сервером NAS. Последний лишь выполняет функции прокси-сервера для аутентификации сервера RADIUS. На рис. 26.3 показаны все упомянутые выше реализации протокола ЕАР — для беспроводной связи, удаленного доступа и коммутируемой LAN-сети.

Рис. 26.3 Физические топологии для различных реализаций аутентификации протокола ЕАР

По мере расширения использования протокола ЕАР для аутентификации все чаще используется встроенная поддержка этих механизмов аутентификации. В настоящее время операционные системы Microsoft Windows поставляются с уже встроенной поддержкой ЕАР-аутентификации для сетевых соединений. Дистрибьютерские пакеты Linux также поддерживают протокол ЕАР в качестве метода идентификации. Корпорация Cisco Systems также уже включила в свои операционные системы поддержку всех этих методов аутентификации. Другие производители также работают в этом направлении.

Резюме

Как было показано в настоящей главе, протокол ЕАР представляет собой мощное средство аутентификации пользователя в сетях доступа. Его популярность все более возрастает по мере того, как сетевые администраторы и производители осознают его гибкость. Используя протокол ЕАР сетевые администраторы могут использовать механизмы строгой аутентификации, которые удовлетворяют всем требованиям проводимой политики безопасности, начиная с традиционных сертификатов MD5-Challenge до цифровых сертификатов. В настоящее время протокол ЕАР охватывает различные реализации от беспроводной до коммутируемой LAN-аутентификации. Можно уверенно предположить, что протокол ЕАР вскоре станет стандартом, роль которого в завтрашних сетях будет все более увеличиваться.

Дополнительные источники

•        RFC 2284, РРР Extensible Authentication Protocol, ftp://ftp.isi.edu/in-njtes/rfc2284.txt

•         RFC 2716, РРР EAP-TLS Authentication Protocol, ftp://ftp.isi.edu/in-njtes/rfc2716.txt

•         RFC 2689, RADIUS Extensions, www.ietf.org/rfc/rfc2689.txt

•                    Internet Draft: Protected EAP Protocol, www.ietf.org/internet-drafts/draft-josefsson- pppext-eap-tls-eap-0.5.txt

Литература:

Руководство по технологиям объединенных сетей, 4-е издание. : Пер. с англ. — М.: Издательский дом «Вильяме», 2005. — 1040 с.: ил. – Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100