IEEE 802.1X : Port-Based Network Access Control [ตอนที่ 2]

2.1 IEEE 802.1X Port-Base Network Access Control
 สถาบันวิศวกรไฟฟ้าและอิเล็กทรอนิกส์นานาชาติ (The Institute of Electrical and Electronics Engineers หรือ IEEE) และ สถาบันมาตรฐานแห่งชาติของสหรัฐอเมริกา (American National Standards Institute หรือ ANSI) ได้เสนอและอนุมัติมาตรฐาน IEEE 802.1X Port-Base Network Access Control ในปี 2544 เป็นมาตรฐานที่ใช้รักษาความปลอดภัยของเครือข่ายในมาตรฐาน IEEE 802 ครอบคลุมทั้ง อีเทอร์เน็ท, เอฟดีดีไอ, โทเคนริง, ไร้สาย และอื่นๆ โดยเมื่อผู้ใช้งานเชื่อมต่ออุปกรณ์เข้าสู่เครือข่าย จะมีการตรวจสอบผู้ใช้งานก่อนแล้วจึงจะตอบกลับด้วยการอนุญาตหรือปฏิเสธการเข้าใช้งานเครือข่าย และสิทธิการใช้งานทรัพยากรบนเครือข่าย โดยการตรวจสอบผู้ใช้งานสามารถทำได้หลายวิธี เช่น การใช้หนังสือรับรอง(Certificate-Based Authentication) , สมาร์ตการ์ด(Smart Card), ชื่อผู้ใช้งานและรหัสผ่าน(Username and Password) เป็นต้น  
 IEEE 802.1X จะสามารถทำงานได้ต้องประกอบด้วยมาตรฐานอื่นๆ อีก ได้แก่ Extensible Authentication Protocol (EAP) และ Remote Authentication Dial In User Service (RADIUS) โดยโปรโตคอล EAP จะใช้สื่อสารระหว่างผู้ใช้ (Supplicant) และ อุปกรณ์แม่ข่าย(Authenticator) ส่วนโปรโตคอล RADIUS จะใช้สื่อสารระหว่างอุปกรณ์แม่ข่าย(Authenticator) และ เครื่องแม่ข่าย (Authentication Server) (ดังรูปที่ 2.1) ในการทำงาน 802.1X จะมีพอร์ตอยู่ 2 ประเภทคือ Controlled Port และ Uncontrolled Port โดย 2 พอร์ตนี้จะทำงานทาง Logical โดยที่ Controlled Port จะเปิดใช้งานก็ต่อเมื่อได้ผ่านการตรวจสอบจากเครื่องแม่ข่าย(Authentication Server) ส่วน Uncontrolled Port จะอนุญาตให้ EAP Packet ผ่านได้เท่านั้นเพื่อส่งให้เครื่องแม่ข่าย(Authentication Server) ทำการตรวจสอบแล้วอนุญาต(ดังรูปที่ 2.2) 802.1X เป็นกลไกที่ปฏิเสธการจราจรของข้อมูล (Traffic) ที่เกิดจากการเข้าถึงเครือข่ายทั้งหมดที่ไม่ใช่ EAP Packets หลังจาก EAP ตอบตกลงสำหรับอุปกรณ์ที่เชื่อมต่อสู่เครือข่ายแล้ว 802.1X จะสื่อสารกับสวิตช์ (Switch) หรือ แอคเซสพอยท์ (Access Point) เพื่ออนุญาตให้ผู้ใช้งานใช้งานบนเครือข่ายได้ การเข้ารหัส(Encryption) จะอยู่ภายนอกมาตรฐาน IEEE 802.1X ตัวอย่างเช่น บนเครือข่าย เราสามารถเลือกใช้ EAP รูปแบบใดรูปแบบหนึ่งจากหลายๆ รูปแบบ ของการเข้ารหัสสำหรับการยืนยันตนเข้าสู่เครือข่าย หลังจากผู้ใช้งานได้รับอนุญาตให้เข้าสู่เครือข่าย เราอาจจะเริ่มการสื่อสารโดยอาจใช้วิธีการเข้ารหัสแบบ WEP, TKIP, AES หรืออื่นๆ ตามรูปแบบมาตรฐานที่มีอยู่

2.1.1 Authentication Server  
 จะทำหน้าที่เก็บข้อมูลชื่อผู้ใช้และรหัสผ่านของผู้ใช้งาน ตรวจสอบสิทธิของผู้ใช้งาน เก็บประวัติการใช้งานของผู้ใช้งานแต่ละคน โดยเริ่มรับจากร้องขอจากอุปกรณ์แม่ข่าย (Authenticator) เมื่อได้รับการร้องขอแล้ว จะทำการตรวจสอบสิทธิแล้วทำการอนุญาตหรือปฏิเสธการเข้าใช้งานเครือข่ายต่อไป ส่วนนี้จะอยู่หลังสุดตามมาตรฐาน IEEE 802.1X เซอร์เวอร์นี้ถูกกำหนดให้ทำงานจะเป็นไปตามมาตรฐาน RADIUS ที่ถูกกำหนดไว้ 
 
 (RADIUS server) 


รูปที่ 2.1 ส่วนประกอบของ IEEE 802.1X

2.1.2 Authenticator
 เป็นส่วนแรกของเครือข่ายเมื่อต้องการนำอุปกรณ์มาเชื่อมต่อ ในที่นี้อาจจะหมายถึงสวิตช์(Switch) หรือ แอคเซสพอยท์ (Access Point) ถึงแม้จะสามารถเชื่อมต่ออุปกรณ์ใดๆ เข้าสู่เครือข่ายได้ ส่วนนี้จะมีหน้าที่ตรวจสอบว่าเป็น EAP Packets เท่านั้นถึงจะให้ผ่านได้ และรอการตอบกลับจาก Authentication Server โดยจะตอบกลับด้วยข้อความยอมรับ(Accept)หรือปฏิเสธ(Reject) ถ้าข้อความถูกส่งกลับคืนนั้นหมายถึงการตอบกลับด้วยการปฏิเสธ และจะทำเนินการต่อไปเพื่อป้องกันไม่ให้เข้าสู่เครือข่าย จนกระทั่งมีการตอบยอมรับจาก Authentication Server เมื่อมีการตอบกลับมายอมรับแล้วจะอนุญาตให้ผู้ใช้งาน (Supplicant ) เข้าใช้งานเครือข่ายได้  



2.1.3 Supplicant
 คืออุปกรณ์ของผู้ใช้งานที่ต้องการเชื่อต่อสู่เครือข่าย 802.1X โดยอาจจะเชื่อต่อคอมพิวเตอร์ , PDA , Notebook และอุปกรณ์อื่นๆ สู่เครือข่ายด้วย Network Interface Card (NIC) เมื่อผู้ใช้งานเชื่อมต่อเข้าสู่เครือข่าย โดยจะต้องผ่าน Authenticator ซึ่งจะอนุญาตให้อุปกรณ์ของผู้ใช้งานผ่านได้แค่ EAP Request เท่านั้น แล้วจะถูกส่งต่อไปยัง Authentication Server โดย EAP Packet นี้เป็นข้อมูลการยืนยันตนการเข้าสู่เครือข่ายของผู้ใช้งานหรืออุปกรณ์แล้ว Authentication Server จะตอบกลับอนุญาตด้วย

IEEE 802.1X : Port-Based Network Access Control [ตอนที่ 1]

     ในปัจจุบันนี้มีการใช้งานคอมพิวเตอร์กันอย่างแพร่หลาย ไม่ว่าจะเป็นคอมพิวเตอร์ส่วนบุคคล โน๊ตบุ๊ค พีดีเอ หรืออื่นๆ ซึ่งมีการใช้งานติดต่อสื่อสารกันมากขึ้น  การรักษาความปลอดภัยให้กับ

คอมพิวเตอร์เป็นสิ่งที่สำคัญสำหรับผู้ใช้งานทุกคน  เราสามารถสร้างเครือข่ายภายในบ้านได้เอง

โดยง่ายดาย โดยจะเห็นได้ว่ามีการขยายตัวของเครือข่ายส่วนตัว(Private Networks) และเครือข่ายสาธารณะ(Public Networks) ไปอย่างรวดเร็วอย่างไรก็ตามมีผู้ใช้งานที่ไม่

ประสงค์ดีต่อผู้ใช้งานท่านอื่นๆ ในเครือข่ายเพื่อใช้งานเครือข่ายโดยขาดการควบคุม เพราะฉะนั้น

จำเป็นต้องมีการควบคุมการเข้าถึงเครือข่าย  และยืนยันตนการเข้าใช้งานเครือข่ายของ

ผู้ใช้งานเป็นสิ่งสำคัญต่อเครือข่าย

IEEE 802 Local and metropolitan area networks (LAN and MAN)
     เป็นมาตรฐานที่อ้างอิงถึงเครือข่ายท้องถิ่นหรือแลน (Local Area Networks) และเครือข่ายภายในเมืองหรือแมน(Metropolitan Area Networks) โดยมาตรฐานนี้มีความ

เกี่ยวข้องกับ 2 เลเยอร์ล่าง คือ ฟิสิกส์คอล (Physical Layer) และดาต้าลิงค์ (Data Link Layer) ของสถาปัตยกรรมเครือข่าย OSI (OSI Model) ในมาตรฐาน ดาต้าลิงค์ (Data Link Layer) ถูกแบ่งออกเป็น 2 ส่วน คือ Logical Link Control (LLC) และ Media Access Control (MAC) (ดังรูปที่ 1.1) โดยมาตรฐานนี้ถูกใช้งานอย่างแพร่หลายไม่ว่าจะเป็นอีเทอร์เน็ท(Ethernet), เอฟดีดีไอ(FDDI), โทเคนริง(Token Ring), ไร้สาย(Wireless) และอื่นๆ

รูปที่ 1.1 โครงสร้างสถาปัตยกรรมเครือข่าย(OSI Model)

     IEEE 802 ประกอบด้วยกลุ่มหลายๆ กลุ่มมาตรฐานซึ่งแต่ละกลุ่มถูกกำหนดให้รายละเอียดเฉพาะ เช่น 802.1 จัดการกับแลนโปรโตคอล

เลเยอร์บน, 802.3 เกี่ยวกับอีเทอร์เน็ท(Ethernet)และ 802.11 เกี่ยวกับเครือข่ายไร้สาย(Wireless LAN)  
     สำหรับกลุ่ม 802.1 ที่เกี่ยวข้องกับโครงสร้างของแลน(LAN)และแมน(MAN) โดยจะมีเนื้อหาเกี่ยวกับการเชื่อมต่อระหว่าง 802, การจัดการเครือข่าย และความปลอดภัย