Расширение сетей с целью их превращения в многофункциональную среду передачи требует принятия принципиальных решений еще на стадии планирования. Современные технологии связи невозможно представить без протоколов и услуг на базе TCP/IP, тем более что они составляют основу любой корпоративной сети. В то же время прочное место в корпоративном сегменте заняли Ethernet и соответствующие технологии коммутации. Однако современные требования к безопасности и стремление строить сети, которые можно было бы эксплуатировать в течение длительного времени, требуют пересмотра традиционных коммуникационных концепций. Распространение безопасности на уровень портов доступа предотвращает любой несанкционированный доступ к сети и создает основу для детального биллинга сервисов, предоставляемых сетью.
Современные коммутирующие системы должны поддерживать адекватные механизмы безопасности, такие как IEEE 802.1x и контроль доступа на уровне MAC. При использовании вместе с центральным сервером аутентификации RADIUS безопасность в корпоративных сетях значительно улучшается. Максимальная защита достигается путем контроля доступа на портах промышленного коммутатора. Таким образом, идентичность клиента проверяется непосредственно в точке подключения, а не только на групповом порту центрального коммутатора. Любое злоупотребление сетевым соединением, например, прослушивание трафика, предотвращается в принципе. Каждый порт коммутатора настраивается в соответствии с желаемым методом аутентификации. Более того, об ошибках аутентификации администратора можно оповестить посредством отправки сообщений SNMP или SYSLOG. При этом передается и документируется MAC-адрес неавторизованного клиента (см. Рисунки 1 и 2).
Дополнительные средства безопасности реализуются с помощью ряда сообщений SNMP, направляемых различным получателям. Помимо прочего они могут информировать о следующих событиях:
-
«холодный» запуск;
-
ошибка аутентификации;
-
сбой счетчика ошибок;
-
изменение линии/отключение линии/включение линии;
-
новый MAC-адрес;
-
ошибка безопасности на порту;
-
сбой из-за перегрева;
-
ошибка безопасности RADIUS;
-
отказ от сервера безопасности RADIUS на порту;
-
образование петли на порту/ошибка широковещательной рассылки;
-
неправильное напряжение PoE на коммутаторе;
-
ошибка из-за перегрузки PoE на коммутаторе;
-
ошибка из-за перегрузки PoE на порту;
-
промышленный тревожный сигнал M1/M2;
-
новый корень RSTP;
-
изменение топологии RSTP.
ОДИН СЕРВЕР ДЛЯ ВСЕХ ЗАДАЧ АУТЕНТИФИКАЦИИ
Все организации, предоставляющие доступ к корпоративной сети большому числу пользователей, сталкиваются с серьезными проблемами безопасности. Во избежание неавторизованного доступа к сети и злоупотребления правом пользования услуг требования безопасности предусматривают реализацию строгих мер контроля.
RADIUS применяется в качестве стандарта для идентификации и учета пользователей. Он базируется на клиент-серверной модели, предполагающей, что промышленный коммутатор является клиентом (точкой межсоединения). Коммутатор посылает запрос центральному серверу RADIUS и на основании имеющейся информации о пользователе разрешает доступ к определенным сетевым ресурсам или отказывает в нем. Защищенное взаимодействие между коммутатором и сервером RADIUS обеспечивается путем взаимной аутентификации с использованием «общего секрета» и шифрования передаваемых данных. RADIUS поддерживает ряд процессов аутентификации и способен обрабатывать и передавать множество расширяемых атрибутов пользователей.
RADIUS может служить для решения следующих задач аутенти-
фикации:
-
контроль доступа по MAC-адресам;
-
IEEE 802.1x;
-
учет;
-
администрирование посредством Telnet.
В последнем случае сервер RADIUS определяет, кто из пользователей имеет право чтения или чтения/записи при доступе к интерфейсу управления коммутатором. Это исключает необходимость конфигурирования паролей для отдельных промышленных коммутаторов (см. также врезку «Администрирование коммутатора с помощью NexMan V3»).
КОНТРОЛЬ ДОСТУПА ПО MAC-АДРЕСАМ
Первый уровень безопасности представляет собой контроль доступа по MAC-адресам клиентов. MAC-адрес должен быть известен серверу RADIUS, это позволяет эффективно предотвратить работу несанкционированных устройств в сети предприятия. При условии поддержки так называемой незащищенной виртуальной локальной сети (Unsecure VLAN) неизвестные устройства могут быть перенаправлены в специальную VLAN с последующим доступом к некритичным базовым сервисам. Если MAC-адрес известен, сервер RADIUS переключит соответствующий порт коммутатора на предопределенную VLAN; принтеры могут быть автоматически подключены к VLAN для принтеров и т.д. Решение об отнесении конкретного MAC-адреса к какой-либо VLAN принимает только центральная база данных сервера RADIUS. Идентификация клиента по MAC-адресу стала практически стандартным средством для точек доступа в беспроводных локальных сетях.
ФИЛОСОФИЯ 802.1X
Идея 802.1x выдвинута теми, кто заинтересован в возможности простого контроля доступа к общественным сетям (среди них — университеты, правительственные структуры, библиотеки и т.д.). Решение должно быть экономичным, простым в реализации, опираться на существующую сетевую инфраструктуру, а также на уже принятые сетевые протоколы. Хотя VPN отвечает некоторым из перечисленных условий, эта технология была отвергнута из-за высоких требований к ресурсам и сложной конфигурации. В итоге 3Com, HP и Microsoft совместно разработали концепцию 802.1x и приняли ее в качестве стандарта IEEE в июне 2001 г.
Стандарт IEEE 802.1x занимает особое место в концепции безопасности для сетей, предлагая возможность идентификации пользователя уже в точке доступа в сеть. Чтобы понять связь между расширяемым протоколом аутентификации (Extensible Authentication Protocol, EAP) в IEEE 802.1x и RADIUS, каждый элемент стоит рассмотреть отдельно. 802.1x разрабатывался прежде всего как архитектурная основа. Он контролирует доступ к сети передачи кадров на уровне портов. Это предполагает поддержку Token Ring, FDDI и технологий Ethernet в целом (в том числе беспроводных). Стандарт подразделяет эти сети на три группы, уже известные из RADIUS:
-
соискатель (Supplicant);
-
проверяющий (Authenticator);
-
сервер аутентификации (Authen-tication Server).
Такое подразделение обуславливает общие принципы взаимодействия. Соискатель является инстанцией, которая хотела бы воспользоваться сервисом, предоставляемым портом проверяющего. В локальной сети соискатель — это клиент, нуждающийся в доступе к сети и интегрированным ресурсам через порт коммутатора или маршрутизатора. Проверяющий (коммутатор) пересылает запрос серверу аутентификации для проверки. Эта задача выполняется сервером RADIUS. Если результат проверки положителен, посылается сообщение проверяющему, который разблокирует порт для доступа к производственной VLAN (см. Рисунок 3).
Аналогично контролю доступа по MAC-адресам неавторизованные пользователи могут быть переведены в незащищенную VLAN. Более того, идентифицированных пользователей можно перенаправить в VLAN, которая конфигурируется централизованно на сервере RADIUS. Например, перевести пользователя «Иванов» из бухгалтерии в защищенную VLAN независимо от того, к какому коммутатору или порту коммутатора он подключен. За отнесение конкретных клиентов к той или иной VLAN отвечает только сервер RADIUS. В результате не приходится тратить много времени на конфигурирование каждого порта коммутатора.
РАСШИРЯЕМЫЙ ПРОТОКОЛ АУТЕНТИФИКАЦИИ
Посредством EAP два партнера по диалогу могут выбрать методы аутентификации еще до выполнения ее самой. EAP описывает процедуру передачи идентификационных данных от пользователя серверу аутентификации и его ответ на основе простой процедуры «запрос/ответ». При этом может применяться любой аутентификационный механизм или сертификат. EAP используется либо вместе с каналом данных PPP, либо в качестве протокольной инфраструктуры для обмена идентификационными данными в других протоколах, например IEEE 802.1x.
Поддержка всех стандартных методов EAP является важным условием для полноценной функциональности решения. В частности, прозрачным образом должны поддерживаться такие стандартные методы EAP, как EAP-MD5, EAP-TLS, EAP-TTLS, EAP-PEAP и т.д. Кроме того, вновь стандартизуемые методы будут обрабатываться программным обеспечением коммутатора без обновления ПО. Понимать применяемый метод EAP должны только клиент и сервер RADIUS.
Вольфганг Байер — менеджер по маркетингу активных сетевых систем немецкого подразделения компании Nexans. С ним можно связаться по адресу: lan@nexans.ru
Администрирование коммутатора с помощью NexMan V3
В отличие от конфигурирования нескольких центральных магистральных коммутаторов использование ряда промышленных коммутаторов предполагает конфигурирование и администрирование множества децентрализованных устройств. Именно по этой причине компания Nexans разработала для своих коммутаторов (см. Рисунок 4) специальный инструмент конфигурации. Так называемый NexMan Nexans Switch Manager реализует автоматизированное распределение базовых конфигураций (Master Config) и обновлений программного обеспечения для любого числа промышленных коммутаторов. Более того, распределять можно как полную конфигурацию, так и ее часть. Другая важная черта NexMan — централизованное архивирование всех конфигураций коммутаторов в базе данных, гарантирующее быстрое повторное конфигурирование параметров коммутатора в случае сбоя.