IEEE 802.1X : Port-Based Network Access Control [ตอนที่ 2]

2.1 IEEE 802.1X Port-Base Network Access Control
 สถาบันวิศวกรไฟฟ้าและอิเล็กทรอนิกส์นานาชาติ (The Institute of Electrical and Electronics Engineers หรือ IEEE) และ สถาบันมาตรฐานแห่งชาติของสหรัฐอเมริกา (American National Standards Institute หรือ ANSI) ได้เสนอและอนุมัติมาตรฐาน IEEE 802.1X Port-Base Network Access Control ในปี 2544 เป็นมาตรฐานที่ใช้รักษาความปลอดภัยของเครือข่ายในมาตรฐาน IEEE 802 ครอบคลุมทั้ง อีเทอร์เน็ท, เอฟดีดีไอ, โทเคนริง, ไร้สาย และอื่นๆ โดยเมื่อผู้ใช้งานเชื่อมต่ออุปกรณ์เข้าสู่เครือข่าย จะมีการตรวจสอบผู้ใช้งานก่อนแล้วจึงจะตอบกลับด้วยการอนุญาตหรือปฏิเสธการเข้าใช้งานเครือข่าย และสิทธิการใช้งานทรัพยากรบนเครือข่าย โดยการตรวจสอบผู้ใช้งานสามารถทำได้หลายวิธี เช่น การใช้หนังสือรับรอง(Certificate-Based Authentication) , สมาร์ตการ์ด(Smart Card), ชื่อผู้ใช้งานและรหัสผ่าน(Username and Password) เป็นต้น  
 IEEE 802.1X จะสามารถทำงานได้ต้องประกอบด้วยมาตรฐานอื่นๆ อีก ได้แก่ Extensible Authentication Protocol (EAP) และ Remote Authentication Dial In User Service (RADIUS) โดยโปรโตคอล EAP จะใช้สื่อสารระหว่างผู้ใช้ (Supplicant) และ อุปกรณ์แม่ข่าย(Authenticator) ส่วนโปรโตคอล RADIUS จะใช้สื่อสารระหว่างอุปกรณ์แม่ข่าย(Authenticator) และ เครื่องแม่ข่าย (Authentication Server) (ดังรูปที่ 2.1) ในการทำงาน 802.1X จะมีพอร์ตอยู่ 2 ประเภทคือ Controlled Port และ Uncontrolled Port โดย 2 พอร์ตนี้จะทำงานทาง Logical โดยที่ Controlled Port จะเปิดใช้งานก็ต่อเมื่อได้ผ่านการตรวจสอบจากเครื่องแม่ข่าย(Authentication Server) ส่วน Uncontrolled Port จะอนุญาตให้ EAP Packet ผ่านได้เท่านั้นเพื่อส่งให้เครื่องแม่ข่าย(Authentication Server) ทำการตรวจสอบแล้วอนุญาต(ดังรูปที่ 2.2) 802.1X เป็นกลไกที่ปฏิเสธการจราจรของข้อมูล (Traffic) ที่เกิดจากการเข้าถึงเครือข่ายทั้งหมดที่ไม่ใช่ EAP Packets หลังจาก EAP ตอบตกลงสำหรับอุปกรณ์ที่เชื่อมต่อสู่เครือข่ายแล้ว 802.1X จะสื่อสารกับสวิตช์ (Switch) หรือ แอคเซสพอยท์ (Access Point) เพื่ออนุญาตให้ผู้ใช้งานใช้งานบนเครือข่ายได้ การเข้ารหัส(Encryption) จะอยู่ภายนอกมาตรฐาน IEEE 802.1X ตัวอย่างเช่น บนเครือข่าย เราสามารถเลือกใช้ EAP รูปแบบใดรูปแบบหนึ่งจากหลายๆ รูปแบบ ของการเข้ารหัสสำหรับการยืนยันตนเข้าสู่เครือข่าย หลังจากผู้ใช้งานได้รับอนุญาตให้เข้าสู่เครือข่าย เราอาจจะเริ่มการสื่อสารโดยอาจใช้วิธีการเข้ารหัสแบบ WEP, TKIP, AES หรืออื่นๆ ตามรูปแบบมาตรฐานที่มีอยู่

2.1.1 Authentication Server  
 จะทำหน้าที่เก็บข้อมูลชื่อผู้ใช้และรหัสผ่านของผู้ใช้งาน ตรวจสอบสิทธิของผู้ใช้งาน เก็บประวัติการใช้งานของผู้ใช้งานแต่ละคน โดยเริ่มรับจากร้องขอจากอุปกรณ์แม่ข่าย (Authenticator) เมื่อได้รับการร้องขอแล้ว จะทำการตรวจสอบสิทธิแล้วทำการอนุญาตหรือปฏิเสธการเข้าใช้งานเครือข่ายต่อไป ส่วนนี้จะอยู่หลังสุดตามมาตรฐาน IEEE 802.1X เซอร์เวอร์นี้ถูกกำหนดให้ทำงานจะเป็นไปตามมาตรฐาน RADIUS ที่ถูกกำหนดไว้ 
 
 (RADIUS server) 


รูปที่ 2.1 ส่วนประกอบของ IEEE 802.1X

2.1.2 Authenticator
 เป็นส่วนแรกของเครือข่ายเมื่อต้องการนำอุปกรณ์มาเชื่อมต่อ ในที่นี้อาจจะหมายถึงสวิตช์(Switch) หรือ แอคเซสพอยท์ (Access Point) ถึงแม้จะสามารถเชื่อมต่ออุปกรณ์ใดๆ เข้าสู่เครือข่ายได้ ส่วนนี้จะมีหน้าที่ตรวจสอบว่าเป็น EAP Packets เท่านั้นถึงจะให้ผ่านได้ และรอการตอบกลับจาก Authentication Server โดยจะตอบกลับด้วยข้อความยอมรับ(Accept)หรือปฏิเสธ(Reject) ถ้าข้อความถูกส่งกลับคืนนั้นหมายถึงการตอบกลับด้วยการปฏิเสธ และจะทำเนินการต่อไปเพื่อป้องกันไม่ให้เข้าสู่เครือข่าย จนกระทั่งมีการตอบยอมรับจาก Authentication Server เมื่อมีการตอบกลับมายอมรับแล้วจะอนุญาตให้ผู้ใช้งาน (Supplicant ) เข้าใช้งานเครือข่ายได้  



2.1.3 Supplicant
 คืออุปกรณ์ของผู้ใช้งานที่ต้องการเชื่อต่อสู่เครือข่าย 802.1X โดยอาจจะเชื่อต่อคอมพิวเตอร์ , PDA , Notebook และอุปกรณ์อื่นๆ สู่เครือข่ายด้วย Network Interface Card (NIC) เมื่อผู้ใช้งานเชื่อมต่อเข้าสู่เครือข่าย โดยจะต้องผ่าน Authenticator ซึ่งจะอนุญาตให้อุปกรณ์ของผู้ใช้งานผ่านได้แค่ EAP Request เท่านั้น แล้วจะถูกส่งต่อไปยัง Authentication Server โดย EAP Packet นี้เป็นข้อมูลการยืนยันตนการเข้าสู่เครือข่ายของผู้ใช้งานหรืออุปกรณ์แล้ว Authentication Server จะตอบกลับอนุญาตด้วย