802.1X je pokušaj da se uvede ozbiljna bezbednosna provera na današnjim popularnim bežičnim 802.11 LAN-ovima (koji se nazivaju i WiFi LAN-ovi) kako bi se obezbedilo da korisnici LAN-a budu časni i pošteni ljudi i, što je najznačajnije, kako bi im se omogućilo korišćenje LAN-a (ako hakeri i ostale neautorizovane osobe uzurpiraju propusni opseg, dolazi do zagušenja mreže i legitmni korisnici ne mogu da koriste mrežu). Tekuća autentifikacija u okviru 802.11 standarda više se fokusira na povezivanje bežičnog LAN-a (da bi se obezbedilo da on radi), nego na verifikaciju identiteta korisnika, ili stanice. Kod bežičnih LAN-ova koji se sve više šire tekući metod autentifikacije mora da se zameni okruženjem koje bi uključilo centralizovanu autentifikaciju korisnika. To je cilj 802.1X standarda. Task Group I u okviru IEEE 802.11 komiteta priprema uspostavljanje 802.1X, IEEE standarda koji obezbeđuje okvir za autentifikaciju LAN-ova zasnovanih na 802 standardima. 802.1X omogućava postepeno povećanje bežičnih LAN-ova, dozvoljavajući centralizovanu autentifikaciju bežičnih korisnika, ili stanica. Standard je dovoljno fleksibilan da omogući više algoritama za autentifikaciju, a pošto je reč o otvorenom standardu, više proizvođača može da predlaže novine i dalja njegova poboljšanja. 802.1X koristi prednosti postojećeg algoritma za autentifikaciju, poznatog pod nazivom Extensible Authentification Protocol (EAT—RFC 2284). 802.1X koristi EAP, koji je napisan u zavisnosti od funkcionisanja PPP-a (Point-to-Point protokola), i vezuje za njega fizički medijum, bilo da je Ethernet, Token Ring, ili bežični LAN. EAP poruke su enkapsulirane u 802.1X poruke i pozivaju se na EAPOL, ili EAP preko LAN-a. 802.1X autentifikacija za bežične LAN-ove ima tri glavne komponente: podnosioca molbe (obično klijentski softver), autentifikatora (obično pristupna tačka) i server za autentifikaciju (obično Remote Authentication Dial-In User Service server, mada se u okviru 802.1X RADIUS ne zahteva izričito). Klijent pokušava da uspostavi kontakt sa pristupnom tačkom. Pristupna tačka detektuje klijenta i osposobljava klijentski port. Prebacuje port u neautorizovano stanje, tako da se prosleđuje samo 802.1X saobraćaj. Blokira se sav saobraćaj u okviru Dynamic Host Configuration Protocola, HTTP-a, FTP-a, Simple Mull Transfer Protocola i Post Office Protocola 3. Nakon toga, klijent šalje EAP-start poruku. Pristupna tačka odgovara EAP porukom sa zahtevom za identifikaciju kako bi dobila identitet klijenta. U EAP-response paketu klijenta nalazi se njegov identitet, koji se prosleđuje do servera za autentifikaciju. Server za autentifikaciju je konfigurisan tako da proverava autentičnost klijenata pomoću određenog algoritma za autentifikaciju. Rezultat je slanje paketa za prihvatanje, ili odbacivanje sa servera za autentifikaciju do pristupne tačke. Nakon prijema paketa za prihvatanje, pristupna tačka prevodi klijentski port u autorizovano stanje i sav ostali saobraćaj počinje da se prosleđuje. 802.1X za bežični LAN ne pominje distribuiranje i rukovanje ključem. To je prepušteno proizvođačima. Prilikom odjavljivanja klijent šalje EAT poruku za odjavljivanje. Tako pristupna tačka ponovo prevodi klijentski port u neautorizovano stanje. Ukratko, 802.1X je objavljen u junu 2001. godine i predstavlja IEEE specifikaciju za kontrolu pristupa mreži, zasnovanu na portovima. 802.1X koristi karakteristike fizičkog pristupa IEEE 802 LAN-ova kako bi se obezbedio mehanizam za autentifikaciju i autorizaciju priključenih uređaja sa karakteristikama point-to-point konekcije i za sprečavanje pristupa preko porta kod koga je proces autentifikacije i autorizacije bio neuspešan. LAN portovi mogu da budu ili fizički (kablovi), ili log¬ički (bežični). 802.1X je posebno namenjen portovima MAC mostova, kao što je naznačeno u 802.1D, gde se portovi koriste za povezivanje servera, ili rutera na LAN i za kreiranje asocijacija između bežičnih stanica i pristupnih tačaka u 802.11 WLAN-ovima (bežični LAN-ovi). Primenjuju ga korporacije koje obezbeđuju LAN pristup javnosti u određenim oblastima i neki provajderi koji nude high-speed pristup Internetu u hotelima i aerodromima. 802.11 koristi Extensible Authentication Protocol (EAP), kao što je naznačeno u RFC2284. EAT poruke su enkapsulirane u 802.1X porukama, tako da imaju oblik EAPOL-a (EAP preko LAN-a). Procedura za autentifikaciju obično uključuje podnosioca molbe (u opštem slučaju klijentskog softvera) - on komunicira sa bežičnom pristupnom tačkom, koja konsultuje serv¬er za autentifikaciju, postavljen obično u formi RADIUS (Remote Access Dial In User Service) servera. Videti i 802.11, 802.10, EAP, EAPOL i RADIUS.


	© Sva prava pridržana, Kompjuter biblioteka, Beograd, Obalskih radnika 4a, Telefon: +381 11 252 0 272