После завершения тестирования в лаборатории NetWorld+Interop iLabs Wireless Security можно констатировать: продукты, которые поддерживают технологию 802.1x (стандарт, предназначенный для проведения аутентификации в беспроводных сетях), в основном устойчиво взаимодействуют друг с другом. Вместе с тем обнаружился ряд моментов, к которым нам хотелось бы привлечь внимание органов стандартизации и производителей.

Совместимость безпроводных точек доступа, клиентского оборудования 802.1х и серверов аутентификации оказалась не столь безупречной, как того хотелось организаторам тестов
Начнем по порядку. Специалисты iLabs развернули на тестовом стенде клиентское оборудование 802.1x четырех поставщиков, работающее под управлением четырех операционных систем (Windows XP, Windows 2000, Mac OS X и Windows CE), а также серверы аутентификации RADIUS семи производителей на платформах Windows, Linux и HP/UX, 19 беспроводных и кабельных устройств. Среди последних были точки доступа, новые беспроводные коммутаторы и традиционные коммутаторы Fast Ethernet.

Сотни тестов оказались выполненными безупречно, но в ряде ситуаций интероперабельность оборудования была не столь полной, как хотелось бы. Осложнения возникли при аутентификации устройств 802.1x с использованием технологий Protected Extensible Authentication Protocol (PEAP) и Tunneled Transport Layer Security (TTLS), при установке ключей WEP (Wired Equivalent Privacy) и интерпретации стандартов.

За малым исключением процедура аутентификации на основе технологии Transport Layer Security (TLS) не вызывала нареканий. Напомним, что одобренный IETF протокол TLS обеспечивает простейший метод аутентификации в беспроводных сетях. Поскольку технология уже утверждена в качестве стандарта, она могла бы играть роль индикатора при контроле корректности основных операций, но на деле все оказывается гораздо сложнее.

Технология TLS требует наличия у каждого конечного пользователя цифрового сертификата, а это вряд ли подходит для большинства существующих сетей. В соответствии с точкой зрения многих производителей беспроводного оборудования, большинство сетевых администраторов захотят интегрировать механизмы безопасности 802.1x в корпоративные системы аутентификации потребителей, которые чаще всего используют регистрационные имена, пароли или же специальные карты и жетоны. К сожалению, обеспечить при этом безопасность не так-то просто.

PEAP против TTLS: жесткая конкуренция

Сегодня в сетевом мире существуют две конкурирующие технологии, помогающие интегрировать механизм унаследованной аутентификации в системы 802.1x. Это решение, реализующее протокол TTLS (предлагается разработчиками Funk и Certicom), и технология REAP, продвигаемая компаниями RSA Security, Cisco Systems и Microsoft. Хотя ни одно из этих предложений еще не получило статуса стандарта, многие производители уже сейчас встраивают в свои продукты средства поддержки этих технологий.

Найти в рамках PEAP и TTLS совместимый метод взаимной аутентификации (например, MS-CHAP-V2 или One Time Password) непросто. Поскольку PEAP не поддерживает простого механизма распознавания пользователей по имени и паролю, которые хранятся в БД в зашифрованном виде (например, в каталогах Unix или LDAP), производители попытались реализовать его в методах аутентификации PEAP. Результат оказался вполне предсказуемым: у каждого из производителей появилось свое решение, что отрицательно сказалось на интероперабельности продуктов.

У приверженцев TTLS возникли иные трудности: для решения одной и той же задачи используется множество методов. В частности, аутентификацию в базе данных Microsoft на основе механизма MS-CHAP-V2 допускается выполнять двумя способами, но не каждый из разработчиков предлагает обе эти возможности.

Поскольку технологии TTLS и PEAP с технической точки зрения эквивалентны друг другу, одновременная поддержка обеих на нынешнем этапе развития 802.1x представляет собой серьезное препятствие на пути обеспечения интероперабельности. Во время тестирования мы обнаружили, что разные разработчики отдают предпочтение различным вариантам реализации. Даже Cisco и Microsoft (производители, поддерживающие PEAP) выбрали несовместимые друг с другом методы, фактически отказавшись от идеи обеспечения полной интероперабельности систем. Небольшие компании (например, Meetinghouse Data Communications и Interlink) также придерживаются принципа реализации сразу всех стандартов, что осложняет процедуру внедрения продуктов в существующую сетевую среду и достижение интероперабельности. Конечно, совместимость устройств со временем повысится, но вмешательство IEEE в разрешение противоречий между TTLS и REAP могло бы заметно ускорить этот процесс.

У пользователей, которые применяют только регистрационное имя и пароль, появилась и другая возможность. Голландская фирма Alfa&Ariss, специализирующаяся на разработке механизмов сетевой безопасности, предлагает бесплатный модуль расширения TTLS, который предусматривает интеграцию в TTLS средств поддержки Password Authentication Protocol. По сути, это простейший метод регистрации имен и паролей пользователей в сетях 802.1x, построенных на платформе Microsoft Windows 2000 или XP. В ходе испытаний бесплатного программного обеспечения мы убедились, что оно нормально взаимодействует со всеми продуктами, участвовавшими в тестировании.

И все же тем, кто намерен воспользоваться TTLS или PEAP для аутентификации пользователей беспроводных устройств, мы посоветовали бы подождать окончательного утверждения топологии защиты беспроводной сети. В ближайшие несколько месяцев IEEE определится с направлением дальнейшего движения по этому пути.

Установка ключей WEP

Один из плюсов аутентификации в сетях 802.1x заключается в том, что беспроводные точки доступа занимают здесь нейтральное положение. Они лишь упаковывают и распаковывают пакеты EAP (внутренний протокол сетей 802.1x) по мере выполнения косвенных обращений к серверу RADIUS. В рамках EAP поддерживаются реальные методы аутентификации, такие как TLS, TTLS и PEAP. Однако по завершении процесса сервер RADIUS должен связаться с точкой доступа и предоставить ей информацию, необходимую для установки ключей WEP. Без этого действия сама система аутентификации в сетях 802.1х не может поддерживать зашифрованный канал.

Во время тестирования в ряде случаев, несмотря на успешную аутентификацию в сети 802.1x, связь между сервером RADIUS, точкой доступа и клиентским устройством обрывалась. Выявить причину оказалось очень сложно — не только потому, что соответствующие события происходят при перемещении зашифрованных данных, но и из-за возможности совершения ошибок каждой из трех взаимодействующих сторон.

В оборудовании одних производителей осложнения регистрировались при тестировании механизма повторной аутентификации, объем которого выходил за рамки, предусмотренные большинством тестов на интероперабельность. Как и в случае с IP Security, тестирование повторной аутентификации представляет собой довольно сложную задачу. Зато с ее помощью можно еще на ранней стадии выявить ошибки, способные в дальнейшем разочаровать пользователей и привести к потере совместимости продуктов.

Фактически все производители «провалили» один из тестов, заключающийся в установке короткого (40-разрядного) ключа WEP. Многие продукты поддерживают широко распространенный ключ WEP, состоящий из 104 разрядов, однако стандарт 802.1х требует совместимости и с 40-разрядными ключами. Тем, кто приобрел платы, поддерживающие только короткие ключи шифрования, в процессе развертывания сети 802.1x имеет смысл подумать о замене оборудования на более современное.

Стандарт или нет?

Поскольку 802.1х, EAP, TTLS и PEAP являются относительно молодыми стандартами (а TTLS и PEAP вообще существуют лишь в предварительном варианте), четких соглашений о том, как их следует интерпретировать и внедрять, в настоящее время еще нет. Сегодня каждый из производителей по-своему трактует порядок организации сеансов ретрансляции, синхронизации запросов DHCP, коммутации виртуальных локальных сетей (VLAN) и управления сертификатами.

Хотя выбор конкретного способа реализации (в частности, виртуальной локальной сети для пользователя сети 802.1х) не обязательно влечет за собой ошибки, в нынешних условиях сетевые администраторы получают не совсем тот результат, на который они вправе рассчитывать. И такое положение дел сохранится, пока производители не изберут единый подход.

Впрочем, подобные сложности характерны не для всех продуктов. Некоторые разработчики новейших беспроводных коммутаторов, которые на сегодняшний день еще даже не анонсировали свои продукты, по-разному интерпретировали стандарты. Однако во время тестирования их инженеры смогли оперативно исправить ситуацию. Специалисты компаний Aruba Networks и Trapeze Networks сумели очень быстро обновить свое ПО, обеспечив тем самым полную интероперабельность с продуктами других производителей. Крупные игроки, включая Microsoft, также обнаружили, что их версии стандартов и предварительных вариантов реализации технологий отличаются от версий других разработчиков.

Большинство поставщиков беспроводных решений с поддержкой аутентификации преследовали две цели: соответствовать стандартам, а если этого окажется недостаточно — добиться интероперабельности с продуктами крупных производителей. Поскольку Microsoft предлагает поддержку клиентов 802.1X в операционных системах Windows 2000 и XP, большая часть разработчиков в качестве ориентира выбрала для себя версию PEAP, реализованную Microsoft. Это, безусловно, порадует тех клиентов, которые рассчитывают на средства поддержки новых технологий, встроенные в ОС Windows, и собираются использовать для проведения аутентификации механизм PEAP.

Хотя тестирование iLabs и показало, что полной интероперабельности продуктов для сетей 802.1X добиться пока не удалось, участие в этом мероприятии множества разработчиков и их очевидный энтузиазм позволяют судить: будущим владельцам защищенных беспроводных сетей следует обратить особое внимание на технологию 802.1х.

Джоэл Снайдер (joel.snyder@opus1.com) — старший партнер консультационной компании Opus One

Поделитесь материалом с коллегами и друзьями