Cyfrowy Strażnik: Odpowiedź na Pytanie "Kim Jesteś?"

Wyobraź sobie bezpieczny, ekskluzywny budynek, być może siedzibę globalnej firmy technologicznej lub tajny obiekt rządowy. Przy wejściu, groźnie wyglądające biurko ochrony jest pierwszą rzeczą, z którą styka się każdy gość. Zanim ktokolwiek zostanie wpuszczony, strażnik zadaje fundamentalne pytanie: "Kim pan/pani jest i w jakim celu pan/pani tu przychodzi?". Aby udowodnić swoją tożsamość, osoba musi przedstawić ważne poświadczenia: identyfikator pracownika, dowód osobisty lub przepustkę dla gości. Dopiero po zweryfikowaniu tej tożsamości z listą upoważnionego personelu osoba zostaje wpuszczona do środka.

Uwierzytelnianie sieciowe jest cyfrowym odpowiednikiem tego punktu kontroli bezpieczeństwa. Jest to proces, za pomocą którego sieć zadaje to samo fundamentalne pytanie każdemu łączącemu się użytkownikowi i urządzeniu. W świecie, w którym sieci korporacyjne przechowują wrażliwe dane finansowe, własność intelektualną i informacje osobiste, posiadanie otwartego gniazdka sieciowego lub publicznie rozgłaszanej nazwy Wi-Fi jest równoznaczne z pozostawieniem szeroko otwartych drzwi wejściowych do tego bezpiecznego obiektu. Uwierzytelnianie sieciowe jest niezbędnym strażnikiem bramy, który zapewnia, że tylko zaufane i zweryfikowane podmioty mogą uzyskać dostęp do cennych zasobów wewnątrz.

Framework AAA: Filary Kontroli Dostępu

Bezpieczny dostęp do sieci opiera się na solidnym frameworku znanym jako AAA, co jest skrótem od Authentication (Uwierzytelnianie), Authorization (Autoryzacja) i Accounting (Rozliczanie). Te trzy filary współpracują ze sobą, aby zapewnić kompleksową kontrolę dostępu.

1. Uwierzytelnianie (Authentication): Dowodzenie swojej tożsamości

To jest pierwszy krok: potwierdzenie, że użytkownicy lub urządzenia są tymi, za kogo się podają. W naszej analogii z budynkiem, jest to czynność okazania dowodu tożsamości strażnikowi. W świecie cyfrowym poświadczenia mogą przybierać różne formy, często kategoryzowane według czynników:

• Coś, co wiesz: Najczęstsza forma uwierzytelniania. Obejmuje hasła i numery PIN. Jest prosta, ale może być słaba, jeśli użytkownicy wybierają łatwe do odgadnięcia hasła.
• Coś, co masz: Odnosi się do fizycznego obiektu w Twoim posiadaniu, takiego jak karta inteligentna, token sprzętowy (jak klucz U2F) lub smartfon otrzymujący jednorazowy kod dostępu.
• Coś, czym jesteś: Obejmuje dane biometryczne, które są unikalne dla Ciebie jako osoby. Przykłady to odcisk palca, skan twarzy lub skan tęczówki.

Najsilniejsze systemy uwierzytelniania używają kombinacji tych czynników, co jest znane jako Uwierzytelnianie Wieloskładnikowe (MFA). Na przykład dostęp do systemu może wymagać zarówno hasła (coś, co wiesz), jak i kodu z telefonu (coś, co masz).

2. Autoryzacja (Authorization): Definiowanie uprawnień

Gdy Twoja tożsamość zostanie potwierdzona, następne pytanie brzmi: "Co wolno Ci robić?". To jest autoryzacja. W naszej analogii strażnik weryfikuje Twój identyfikator pracownika (uwierzytelnianie), a następnie sprawdza Twoją rolę. Karta stażysty może dawać dostęp tylko do parteru, podczas gdy karta dyrektora może otwierać wszystkie drzwi w budynku.

W sieci autoryzacja dyktuje poziom dostępu użytkownika. Po uwierzytelnieniu centralny serwer instruuje sprzęt sieciowy (taki jak przełącznik lub punkt dostępowy), jakie reguły zastosować. Może to obejmować:

• Przypisanie użytkownika do określonej Wirtualnej Sieci Lokalnej (VLAN), na przykład umieszczenie pracowników działu finansów w bezpiecznym 'Finanse_VLAN'.
• Zastosowanie określonych List Kontroli Dostępu (ACL) lub reguł zapory do ich połączenia.
• Implementację polityk Jakości Usługi (QoS) w celu priorytetyzacji ich ruchu (np. nadanie wyższego priorytetu rozmowom VoIP menedżera).

3. Rozliczanie (Accounting): Śledzenie aktywności

Ostatnim filarem jest rozliczanie, które polega na zbieraniu i rejestrowaniu danych o tym, co użytkownik robił, będąc połączonym. To jest księga wejść i wyjść w budynku, zapisująca kto wszedł, o której godzinie, które pokoje odwiedził i kiedy wyszedł.

Rozliczanie w sieci śledzi metryki, takie jak czas trwania sesji użytkownika, ilość przesłanych danych, dostęp do zasobów i wydane polecenia (szczególnie ważne w przypadku dostępu administracyjnego do urządzeń). Dane te są nieocenione dla:

• Audytu Bezpieczeństwa i Kryminalistyki: Badanie incydentów bezpieczeństwa poprzez dostarczanie jasnego śladu aktywności.
• Fakturowania: Obciążanie użytkowników na podstawie ich zużycia sieciowego, co jest powszechne u dostawców usług internetowych.
• Planowania Pojemności: Analizowanie wzorców użytkowania w celu planowania przyszłych modernizacji sieci.

RADIUS i TACACS+: Języki AAA

Aby wdrożyć framework AAA w skalowalny sposób, potrzebne są scentralizowane protokoły. Dwa protokoły zdominowały tę przestrzeń: RADIUS i jego główny konkurent, TACACS+.

RADIUS (Remote Authentication Dial-In User Service)

RADIUS to standardowy protokół przemysłowy do zapewniania scentralizowanego AAA dla dostępu do sieci. Działa w modelu klient-serwer. Urządzenia sieciowe, takie jak przełączniki i bezprzewodowe punkty dostępowe, działają jako klienci RADIUS. Same nie przechowują baz danych użytkowników; zamiast tego przekazują wszystkie żądania uwierzytelnienia do centralnego serwera RADIUS. Serwer RADIUS przechowuje bazę danych użytkowników i polityki bezpieczeństwa, podejmuje decyzję o dostępie i wysyła werdykt z powrotem do urządzenia klienckiego.

Jednym z ograniczeń RADIUS jest to, że łączy on procesy uwierzytelniania i autoryzacji. Pakiet 'Access-Accept' wysyłany z serwera do przełącznika zawiera zarówno potwierdzenie tożsamości, jak i wszystkie atrybuty autoryzacji w jednej wiadomości. Chociaż jest to wydajne, może być mniej elastyczne niż rozdzielenie tych kroków. Dodatkowo RADIUS szyfruje tylko hasło użytkownika w pakiecie 'Access-Request', pozostawiając resztę informacji, taką jak nazwa użytkownika i dane rozliczeniowe, niechronione podczas przesyłania przez sieć.

TACACS+ (Terminal Access Controller Access-Control System Plus)

TACACS+ to protokół opracowany przez Cisco, który często jest postrzegany jako alternatywa dla RADIUS, szczególnie w specyficznym zastosowaniu: zabezpieczaniu dostępu administracyjnego do samych urządzeń sieciowych. Podczas gdy RADIUS skupia się na kontrolowaniu, kto dostaje się do sieci, TACACS+ skupia się na kontrolowaniu, kto może zalogować się do routera lub przełącznika i jakie polecenia może wykonywać.

TACACS+ oferuje kilka kluczowych zalet w porównaniu z RADIUS w tym kontekście:

• Rozdzielenie AAA: TACACS+ traktuje każdą część frameworku AAA jako oddzielny proces. Urządzenie najpierw uwierzytelnia się, następnie oddzielny proces autoryzacji określa jego uprawnienia do poleceń, a rozliczanie również jest obsługiwane niezależnie. Zapewnia to większą elastyczność i szczegółową kontrolę.
• Pełne Szyfrowanie Pakietów: W przeciwieństwie do RADIUS, TACACS+ szyfruje całą treść pakietu wymienianego między urządzeniem a serwerem. Oznacza to, że nie tylko hasło, ale także nazwa użytkownika, informacje autoryzacyjne i wszystkie polecenia są utrzymywane w poufności. Jest to znaczące ulepszenie bezpieczeństwa.
• Niezawodność oparta na TCP: TACACS+ używa TCP jako protokołu transportowego, co zapewnia niezawodną, zorientowaną na połączenie sesję. RADIUS używa UDP, który jest szybszy, ale mniej niezawodny.

EAP i 802.1X: Nowoczesne Ramy Kontroli Dostępu

Podczas gdy RADIUS zapewnia infrastrukturę backendową, potrzebny jest standardowy sposób, aby urządzenie końcowe i przełącznik sieciowy/punkt dostępowy mogły przeprowadzić sam proces uwierzytelniania. Realizuje się to dzięki synergii dwóch potężnych standardów: Extensible Authentication Protocol (EAP) i IEEE 802.1X.

EAP (Extensible Authentication Protocol): Elastyczna Konwersacja

EAP sam w sobie nie jest metodą uwierzytelniania. Zamiast tego jest to bardzo elastyczny framework lub wspólny język dla rozmów uwierzytelniających. Pozwala on klientowi i serwerowi uwierzytelniającemu negocjować i używać jednej z wielu różnych metod uwierzytelniania, zwanych metodami EAP. Jest to kluczowe, ponieważ różne scenariusze wymagają różnych poziomów bezpieczeństwa.

Popularne metody EAP obejmują:

• EAP-TLS (Transport Layer Security): Niezwykle bezpieczny. Wymaga, aby zarówno serwer, jak i klient posiadały certyfikat cyfrowy, co zapewnia silne wzajemne uwierzytelnienie.
• PEAP (Protected EAP): Bardzo powszechna metoda. Serwer przedstawia certyfikat klientowi, tworząc bezpieczny tunel TLS. Wewnątrz tego zaszyfrowanego tunelu klient może bezpiecznie uwierzytelnić się za pomocą słabszej metody, zazwyczaj nazwy użytkownika i hasła (MS-CHAPv2).
• EAP-TTLS (Tunneled TLS): Podobny do PEAP, również tworzy tunel TLS, ale jest bardziej elastyczny w kwestii metod uwierzytelniania, które mogą być używane wewnątrz.

IEEE 802.1X: Bezpieczeństwo Egzekwowane na Porcie

IEEE 802.1X to standard, który przenosi uwierzytelnianie do fizycznego punktu połączenia. Definiuje on mechanizm Kontroli Dostępu do Sieci Opartej na Portach (PNAC).

Gdy urządzenie podłącza się do portu przełącznika z włączonym 802.1X, port ten jest początkowo w stanie zablokowanym. Działa jak zamknięta brama, przepuszczając tylko komunikaty EAP. Cały pozostały ruch: webowy, e-mail, itp., jest odrzucany. Przełącznik (Uwierzytelniacz) używa następnie EAP, aby rzucić wyzwanie urządzeniu (Suplikantowi) i zażądać udowodnienia swojej tożsamości. Uwierzytelniacz przekazuje tę rozmowę do serwera RADIUS (Serwera Uwierzytelniającego). Dopiero gdy serwer RADIUS pomyślnie uwierzytelni suplikanta i odeśle komunikat 'Access-Accept', przełącznik otwiera port i pozwala na przepływ normalnego ruchu. Mechanizm ten skutecznie zamienia każdy pojedynczy port na przełączniku w indywidualnie kontrolowany punkt kontroli bezpieczeństwa.

Łączenie Wszystkiego w Całość: Przebieg Uwierzytelniania

Prześledźmy typowy proces uwierzytelniania w środowisku korporacyjnym, używając wszystkich tych komponentów. Nowy pracownik, Anna, próbuje połączyć swojego laptopa z firmową siecią Wi-Fi.

1. Próba Połączenia: Anna wybiera firmowy SSID sieci Wi-Fi. Jej laptop (Suplikant) próbuje połączyć się z bezprzewodowym punktem dostępowym (Uwierzytelniaczem).
2. Inicjacja 802.1X: Punkt dostępowy widzi nowe urządzenie. Ponieważ sieć jest zabezpieczona za pomocą WPA2/WPA3-Enterprise, AP inicjuje proces 802.1X. Blokuje cały normalny ruch i wysyła do laptopa komunikat EAP z prośbą o podanie tożsamości.
3. Konwersacja EAP/RADIUS: Laptop odpowiada, podając nazwę użytkownika Anny. AP opakowuje tę wiadomość EAP w pakiet RADIUS 'Access-Request' i wysyła go do centralnego serwera RADIUS. Serwer RADIUS rozpoczyna bezpieczny uścisk dłoni PEAP, tworząc tunel TLS z powrotem do laptopa Anny (wszystko przekazywane przez AP).
4. Weryfikacja Poświadczeń: Wewnątrz tego zaszyfrowanego tunelu laptop Anny bezpiecznie wysyła jej hasło. Serwer RADIUS weryfikuje nazwę użytkownika i hasło w firmowej bazie danych Active Directory.
5. Decyzja o Autoryzacji: Ponieważ poświadczenia są poprawne, serwer RADIUS wysyła pakiet 'RADIUS Access-Accept' z powrotem do punktu dostępowego. Pakiet ten zawiera atrybuty autoryzacji. Na podstawie roli Anny w Active Directory jako członka działu marketingu, serwer instruuje AP, aby umieścił ją w 'VLAN 30' (Marketing) i zastosował listę 'Marketing-ACL'.
6. Dostęp Przyznany: Punkt dostępowy stosuje ustawienia VLAN i ACL do sesji bezprzewodowej Anny i wysyła ostateczną wiadomość EAP-Success. Anna jest teraz bezpiecznie połączona z siecią z odpowiednim poziomem dostępu dla swojej roli.
7. Rozpoczęcie Rozliczania: Punkt dostępowy wysyła pakiet 'RADIUS Accounting-Start' do serwera, rejestrując początek sesji Anny. Kiedy się rozłączy, zostanie wysłany pakiet 'Accounting-Stop', kończąc proces AAA.