Radius sewer – 5 najczęściej wykorzystywanych metod uwierzytelnienia

PrzezDarek Koralewski

Jeśli nie możesz czegoś zmierzyć, to nie możesz tym zarządzać.

Pamiętam jedno ze spotkań z administratorami w dużej firmie usługowej, na którym zostałem poproszony o prezentację rozwiązania sieciowego.
Tradycyjnie jednym z pierwszych pytań, jakie zadaję, jest pytanie o stan obecny. W przypadku projektowania rozwiązań rozbudowy pod centra przetwarzania danych zazwyczaj brzmi ono:

„Czy wiecie jakie jest wasze obciążenie interfejsów uplinkowych na poszczególnych urządzeniach?”

Mam oczywiście wiedzę o średnich potrzebach danego typu klienta, wynikające z mojej praktyki, ale zawsze najlepiej skonfrontować dane średnie ze specyfiką danego klienta.

Jak myślisz, jaka jest typowa odpowiedź, którą spotykam?

Najczęściej słyszę coś w stylu:

„Nie mamy takich danych”

Pracuję już w tej branży ponad 15 lat a takie odpowiedzi niezmiennie mnie dziwią. Jednocześnie muszę przyznać, że dobrze rozumiem powody takiej sytuacji.

Jest co najmniej kilka przyczyn:

  1. Nie mam na to czasu.
  2. Nie mam do tego narzędzi.
  3. Narzędzia, jakie posiadam, uśredniają mi informację i jest ona niereprezentatywna.
  4. W naszej firmie zmiany są tak nieprzewidywalne, więc i tak nie wiem co się wydarzy za 5 lat.

Każdy ma swoje racje i nie oceniam sensowności tych argumentów. Nie mniej prowadzą one do sytuacji, w której administrator jest bardzo reaktywny, a to w dłuższej perspektywie nie zapewnia komfortu pracy.

Jak poprawić sytuację?

To do czego zachęcam, to skorzystanie z doświadczeń tych administratorów, którzy z sukcesem znaleźli i zastosowali odpowiednie rozwiązania. Jest szansa, że i Tobie uda się wdrożyć narzędzia mierzące i dostarczające potrzebne Ci informacje.

Systemy Radius

Skupię się teraz na systemach uwierzytelniania Radius jako naszej centralnej bazie użytkowników.

Wiedza kto, kiedy i do którego punktu w sieci się podłączył, jest kluczowa w zakresie bezpieczeństwa sieci oraz danych.

Wspiera on następujące typy dostępów:

  1. 802.1x
  2. MAC authentication
  3. Uwierzytelnianie aplikacyjne
  4. Dostęp administracyjny

Zacznijmy od 802.1x

Jest to dostęp do sieci według standardu określonego poprzez organizację IEEE . Działa na poziomie warstwy L2 modelu ISO/OSI i pozwala na weryfikację, kto się do sieci chce podłączyć.
Cały proces odbywa się jeszcze przed przydzieleniem adresu IP do karty sieciowej urządzenia.
Wykorzystywany jest tu protokół EAP (Extensible Authentication Protocol) jako kontener umożliwiający jednoczesne wykorzystanie różnych metod uwierzytelnienia.

Obecnie najczęściej spotykane i wykorzystywane są następujące metody:

  • EAP-TLS
  • EAP-PEAP/MSCHAPv2

            EAP-TLS

Jest to metoda oparta o obustronne uwierzytelnienie klienta oraz serwer Radius poprzez certyfikaty. Polecam tę metodę wszystkim, którzy tylko są w stanie ją zaimplementować, tzn. posiadają domenę oraz infrastrukturę PKI (Public Key Infrastructure).
Wiem że brzmi to skomplikowanie, na szczęście nie jest aż takie, jak się początkowo wydaje. A to za sprawą dobrej integracji PKI jako części rozwiązania domenowego dostarczanego przez firmę Microsoft.

Na potwierdzenie mam przykład jednego z klientów z branży przemysłowej. Wdrożył on swoją pierwszą wersję dostępu do sieci w oparciu o certyfikaty, podczas trwania prowadzonych przeze mnie warsztatów (zresztą dotyczących wykorzystania Aruba ClearPass w dostępie bezprzewodowym).
Jeżeli masz domenę, a tak jest najczęściej, to postawienie firmowego systemu PKI nie jest trudne i można znaleźć przewodniki jak to zrobić.
Gdy już mamy nasz domenowy urząd PKI (prawie nigdy nie jest to publiczny urząd), to wykorzystując narzędzia GPO z domeny, możemy automatycznie wygenerować i przesłać certyfikaty do każdego urządzenia podpiętego do domeny.
Ta procedura została wykorzystana na wspomnianych warsztatach. Następnie wystarczyło stworzyć jeden serwis po stronie systemu Radius do obsługi trybu EAP-TLS, a następnie powiązać informacje z pól certyfikatu z naszymi wymaganiami bezpieczeństwa.
Typowy przykład to odczytanie wartości pola związanego z przynależnością do danej grupy w domenie i przypisanie profilu dostępu dla tego użytkownika.

Jeśli chciałbyś zobaczyć przykład takiej konfiguracji, napisz w komentarzu – zobaczymy, ile osób jest zainteresowanych bardziej szczegółowym poznaniem tego tematu.

Natomiast więcej informacji na temat PKI możesz znaleźć pod adresem:

https://pl.wikipedia.org/wiki/Infrastruktura_klucza_publicznego

            EAP-PEAP/MSCHAPv2

Jest to bardzo powszechna metoda, w której do uwierzytelniania wykorzystuje się login i hasło. Plusem tej metody jest brak wymagań na PKI, minusem jest większa uciążliwość w korzystaniu dla użytkownika.
Pewnym remedium, stosowanym przez Microsoft, jest możliwości użycia tego samego loginu i hasła, które wykorzystywane jest do logowania się do systemu na komputerze.

W praktyce stosuje się połączenie obu wyżej opisanych metod oraz ich obsługę po stronie systemu Radius.
Tak czy inaczej, niezależnie od metody, użytkownik zostanie podłączony do sieci.

Obie wymienione metody są uważane za bezpieczne na różnego typu ataki, jak również mają wsparcie we wszystkich obecnie spotykanych po stronie klienta systemach operacyjnych.

Oczywiście jest więcej dostępnych metod, ja jednak jestem zdania, że lepiej trzymać się dobrych praktyk sprawdzonych u wielu innych zamiast tracić czas na sprawdzanie zbyt wielu opcji (które z jakichś jednak powodów są mało popularne w realnym użyciu)

Jeżeli jesteś zainteresowany głębszym poznaniem tematu 802.1x, to zachęcam do lektury bardziej naukowej.
Dobrym miejscem rozpoczęcia jest dokument opublikowany w ramach programu Eduroam na ten temat:

http://eduroam.pl/Dokumentacja/802_1X_02.pdf

MAC authentication

Jest to mechanizm rozpoznawania i podłączania urządzeń nie potrafiących uwierzytelnić się wg standardu 802.1x. Do tej grupy należą często urządzenia prostsze, takie jak drukarki, sensory, kamery itp.

Funkcjonalnie działa to w taki sposób, że urządzenie sieciowe wspierające MAC authentication wysyła do radiusa informację o MAC adresie urządzenia. Na urządzeniu sieciowym konfigurujemy najczęściej obie metody, czyli 802.1x oraz MAC Authentication.
Najpierw wykonywany jest pierwszy tryb, a gdy nie otrzyma żadnej odpowiedzi od urządzenia końcowego i mija zadany czas, urządzenie sieciowe próbuje wykonać uwierzytelnienie w oparciu o MAC adres.
Jeśli wówczas sprawdzimy sobie informacje, po stronie systemu Radius w polu login pojawi nam się MAC adres urządzenia.

Nie jest to niestety silna metoda. Możliwe jest jej obejście w postaci relatywnie łatwo kopiowalnego adresu MAC dowolnego urządzenia w sieci i podszycie się pod to urządzenie.

Jednak lepiej stosować tę metodę niż nie stosować nic. Tym bardziej, że w naszych sieciach jest i będzie coraz więcej urządzeń nie wspierających 802.1x.

Wobec tego tę metodę łączy się najczęściej po prostu z restrykcyjną polityką ograniczania ruchu, np. dla telefonów IP czy drukarek dając im dostęp jedynie do centrali telefonicznej lub serwera wydruku.
W przypadku podszycia się pod dowolne urządzenie z tej kategorii, potencjalna osoba/oprogramowanie będzie miało dostęp do niewielkich zasobów.

Innym typowym przykładem uwierzytelniania po MAC adresie jest dostęp gościnny.
Logowanie i poznanie użytkownika jest realizowane dopiero na etapie przekierowania zapytania o adres http. To oznacza, że już wcześniej klient końcowy musi otrzymać dostęp do sieci, adres IP i co najmniej dostęp do DNS’a.
Z tego właśnie powodu popularne jest tunelowanie ruchu poprzez DNS, jeżeli ktoś chce ominąć ograniczenia w sieci gościnnej. To jednak temat na inny artykuł.

Uwierzytelnianie aplikacyjne

Rozbudowane systemy Radius umożliwiają także logowanie do systemów opartych o WWW.
Realizowane jest to już nie poprzez sam protokół Radius, ale poprzez SAML (Security Assertion Markup Language). Chodzi tutaj o zachowanie centralnej bazy użytkowników i uwierzytelniania w jednym miejscu i zapewnienie użytkownikom końcowym automatycznego i bezpiecznego dostępu do sieci oraz systemów WWW. SAML jest sposobem wymiany informacji między systemem uwierzytelniającym a systemem aplikacyjnym za pomocą protokołu bazującego na XML’u oraz tokenach sesyjnych.

Więcej na ten temat możesz znaleźć pod adresem:

https://en.wikipedia.org/wiki/SAML_2.0

Dam przykład, jak uwierzytelnienie aplikacyjne, może być wykorzystane, Jest to przykład międzynarodowej firmy sprzedającej swoje produkty na całym świecie.

Każdy pracownik ma wygenerowany certyfikat. Certyfikat ten jest dostępy dla przeglądarek i każde wejście na stronę wymagającą uwierzytelnienia, powoduje przekierowanie do systemu uwierzytelniania, który z kolei korzysta z centralnej bazy użytkowników – system Radius.
Do uwierzytelnia wykorzystywany jest wspomniany wcześniej certyfikat. Dla użytkownika końcowego cały proces jest niewidoczny.
Użytkownicy używają certyfikatów umieszczonych w TPM (Trusted Platform Module) i są proszeni o podanie PIN’u wymaganego przy dostępie do TPM’a. Jest to jedyna czynność wymagana od użytkownika.
Jest to idealny przykład podwyższenia bezpieczeństwa oraz użyteczności rozwiązania jednocześnie.

Podobnie wygląda sytuacja, jeżeli korzystasz z systemów zewnętrznych, jak Office 365. Tutaj również jest możliwość integracji logowania firmowego z rozwiązaniem Microsoftu dla danej organizacji.

Dostęp administracyjny

Ten typ dostępu jest dodatkową opcją, gdy stosujemy centralne uwierzytelnianie. Jest to ułatwienie dla administratorów, którzy mają jeden login i hasło. Podwyższa to poziom bezpieczeństwa administracyjnego dostępu do urządzeń sieciowych.

Dostęp ten możemy realizować w oparciu o protokół Radius, ale częściej wykorzystuje się protokół TACAS+, umożliwiający dodatkowo różnicowanie poziomu dostępu administracyjnego.
Obie metody są zintegrowane w bardziej rozbudowanych rozwiązaniach Radius i umożliwiają ich wykorzystanie w zależności od wsparcia na urządzeniu końcowym.

Najczęściej klienci rozpoczynają od wdrożenia częściowego uwierzytelniania, a następnie rozszerzają jego zakres.
Typowo u większości klientów scenariusz wdrażania uwierzytelniania do sieci rozpoczyna się od dostępu gościnnego, w zakresie sieci WiFi. W następnych krokach jest rozszerzany na dostęp przewodowy, jak również jeden punkt uwierzytelniania dla wewnętrznych systemów firmy z dostępem WWW.

Podsumowanie

Mając wdrożone metody uwierzytelniania, otrzymasz potężne narzędzie rozliczalności zdarzeń. Będziesz mógł je wykorzystać do sprawdzenia informacji w przypadku awarii lub incydentów w zakresie bezpieczeństwa.

Wyciągnij wnioski z doświadczeń innych i uniknij błędów u siebie. Do następnego artykułu, Darek Koralewski.

Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *