Jednym z rozwiązań podnoszących poziom bezpieczeństwa naszej infrastruktury teleinformatycznej jest protokół 802.1x. Istnieje on na rynku IT od lat, a wiele przedsiębiorstw zdaje się nie wiedzieć nadal o jego istnieniu.

Organy nadzorcze KNF, IPS coraz częściej zalecają wdrożenie w bankach protokołu 802.1x w infrastrukturze IT. Zalecenie to traktowane jest jako działanie wyprzedzające.

Celem wdrożenia takiego rozwiązania jest zabezpieczenie fizycznego dostępu do portu. Rozwiązanie podnosi poziom bezpieczeństwa sieciowego w Banku i zapewnia zwiększoną kontrolę nad zasobami.

Protokół 802.1x jest popularnym sposobem zabezpieczenia w sieci procesu uwierzytelniania i sprawia, że proces ten będzie szybki, sprawny i niewidoczny dla użytkownika, czyli niepowodujący zbędnych problemów i trudności.

Protokół 802.1.x umożliwia obsługę procesu uwierzytelniania użytkowników i urządzeń w sieci. Urządzenie mające rozpocząć transmisję danych w sieci musi poprzez pośrednika (na przykład przełącznik) zwrócić się do serwera o zgodę.

Dzięki temu na jednym serwerze posiadamy globalną informację dotyczącą wszystkich urządzeń podłączonych do sieci i z jednego miejsca zarządzamy procesem uwierzytelnienia.

Zaletą rozwiązania jest również to, że 802.1x działa w warstwie 2 ISO/OSI i na tym poziomie blokuje wszelki ruch, jeśli jest to konieczne. Dzięki temu, jeśli stacja robocza nie otrzyma zgody na nadawanie, jest na tym poziomie blokowana lub otrzymuje czasowy dostęp do zasobów poza siecią właściwą.

Urządzenie występujące o dostęp do sieci w protokole 802.1x, to tzw. suplikant. Jest on podłączony do urządzenia dostępowego w sieci, jakim jest przełącznik (switch). Urządzenie pośredniczące to autentykator (klient RADIUS).

Pomiędzy suplikantem i klientem RADIUS działa protokół 802.1.x. Protokół służy do wymiany informacji uwierzytelniających w przypadku, kiedy suplikant chce otrzymać dostęp do sieci. Przed uwierzytelnieniem w sieci suplikant ma ograniczoną komunikację do sieci. Wszystkie ramki do czasu pełnego uwierzytelnienia są blokowane przez klienta RADIUS.

Kiedy klient RADIUS otrzymuje żądanie podłączenia do sieci suplikanta, przesyła do serwera uwierzytelniania prośbę o identyfikację.

Architektura rozwiązania obejmuje:

Dwa serwery Network Policy Server (NPS1, NPS2, realizują funkcjonalność RADIUS) przewidziane jako podstawowy serwer usługi oraz serwer zapasowy. Oba serwery są aktywne.

Uwierzytelnienie następuje względem bazy użytkowników Active Directory (Na stacjach roboczych wymuszono za pomocą polis Active Directory uruchomienie suplikanta 802.1x).

Zabezpieczana infrastruktura sieciowa, przełączniki:

Należy stosować urządzenia sieciowe (switch) posiadające obsługę protokołu 802.1x. Każda placówka przedsiębiorstwa powinna otrzymać urządzenie dostosowane ilością portów do potrzeb danej lokalizacji.

Przełączniki te pełnią rolę autentykatorów i wymuszają uwierzytelnienie na skonfigurowanych portach.

Można zastosować 3 typy autoryzacji portów: 802.1x dla portów z przyłączonymi stacjami roboczymi:

1. Uwierzytelnianie za pomocą mechanizmu port security.
2. Na podstawie adresu MAC urządzenia przyłączanego.
3. Brak autoryzacji dla portów z odpowiednim zabezpieczeniem fizycznym (dla wyjątkowych przypadków, np. routery).

Komunikacja

Komunikacja z serwerami NPS odbywa się poprzez szyfrowane połączenie VPN.