IEEE 802.1x

IEEE 802.1x este un standard IEEE bazat pe controlul porturilor de acces la rețea LAN și MAN . Face parte din setul standard IEEE 802 . Oferă un mecanism de autentificare dispozitivelor care doresc să se conecteze printr-un comutator sau un punct de acces wifi la o rețea LAN sau WLAN, stabilind o conexiune punct-la-punct și prevenind conexiunile neautorizate la rețeaua locală. Este utilizat de rețelele locale fără fir pentru a gestiona conexiunile la punctele de acces .

IEEE 802.1X se bazează pe EAP , (Extensible Authentication Protocol RFC 2284 ) încapsulând standardul IEEE 802 ^[1] ^[2] , numit și „EAP peste LAN” sau protocolul EAPOL. Inițial, EAPOL a fost conceput pentru IEEE 802.3 Ethernet în 802.1X-2001 ^[3], dar utilizarea sa a fost extinsă de atunci la alte tehnologii LAN IEEE 802, cum ar fi IEEE 802.11 wireless și Fibre Distributed Data Interface (ISO 9314-2) în 802.1X -2004 ^[4] . Protocolul EAPOL a fost, de asemenea, modificat pentru a fi utilizat cu IEEE 802.1AE („MACsec”) și IEEE 802.1AR (Secure Device Identity, DevID), în 802.1X-2010 ^[5] ^[6] , pentru a sprijini serviciile de identificare și în cazul respectiv de criptare punct-la-punct pe segmentul LAN.

802.1x este acum acceptat de majoritatea noilor switch-uri și se poate autentifica împreună cu un program instalat pe computer, solicitant, eliminând posibilitatea accesului neautorizat prin conectarea la stratul fizic al rețelei.

Mulți producători implementează protocolul 802.1x în punctele de acces fără fir pentru a rezolva nesiguranțele protocolului WEP (a se vedea 802.11i ); de fapt, metodele moderne EAP sunt capabile să ofere un mecanism de autentificare sigur și să negocieze o cheie privată sigură (PMK) între client și punctul de acces sau Network Access Server ( NAS ) care poate fi apoi utilizat pentru o sesiune de criptare fără fir folosind TKIP sau CCMP (bazat pe AES). În mod normal, autentificarea se face de către o terță parte, cum ar fi un server RADIUS . Aceasta oferă autentificarea clientului sau autentificarea puternică reciprocă.

Centrală

Autentificarea prin 802.1X implică trei jucători principali: un solicitant, un autentificator și un server de autentificare. Solicitantul este un dispozitiv client (cum ar fi un laptop) care dorește să se conecteze la LAN / WLAN. Termenul solicitant este, de asemenea, utilizat în mod interschimbabil pentru a se referi la software-ul care rulează pe client, care oferă acreditările sale autentificatorului. Autentificatorul este un dispozitiv de rețea, cum ar fi un comutator Ethernet sau un punct de acces fără fir. Serverul de autentificare constă de obicei dintr-o gazdă care rulează software care acceptă protocoalele RADIUS și EAP.

Autentificatorul acționează ca un agent de securitate pentru a proteja rețeaua. Atâta timp cât identitatea sa nu a fost validată și autentificată, solicitantul nu este autorizat să acceseze partea protejată a rețelei prin intermediul autentificatorului. Cu autentificarea 802.1X, solicitantul furnizează acreditările (nume de utilizator / parolă sau certificat digital) autentificatorului, care, la rândul său, le transmite serverului de autentificare pentru verificare. Dacă acesta din urmă stabilește că acreditările sunt valabile, solicitantului i se permite accesul ^[7] .

Detalii despre operare

Porturi de rețea

802.1X-2001 definește două porturi logice pentru un port autentificat, dintre care unul este controlat, iar celălalt nu. Portul controlat este gestionat de 802.1X PAE (Port Access Entity), care permite sau interzice intrarea și ieșirea traficului de rețea din port. Portul necontrolat este utilizat de 802.1X PAE pentru a transmite și primi cadre EAPOL.

802.1X-2004 definește aceleași porturi pentru solicitant: în acest fel, solicitantul care implementează 802.1X-2004 poate evita utilizarea protocoalelor de nivel superior în cazul în care autentificarea nu reușește. Acest lucru devine deosebit de util atunci când este utilizat un protocol EAP care asigură autentificarea reciprocă: solicitantul poate preveni astfel furtul de date în timp ce se conectează la o rețea nesecurizată.

Procedura de autentificare

Secvența de autentificare IEEE 802.1x

Inițializare Când este detectat un nou solicitant, portul de autentificare este activ și setat la starea „neautorizată”, în care este permis doar traficul 802.1X. Alt trafic bazat pe protocol Internet ( TCP și UDP ) este respins.
Inițierea Pentru a iniția faza de autentificare, autentificatorul va transmite cadre „EAP-Request Identity” la intervale regulate la o anumită adresă „Layer 2” din rețeaua locală. Solicitantul ascultă în această adresă și, ca răspuns, trimite un cadru „Identitate de răspuns EAP”, conținând un ID de utilizator, cu funcția de identificator pentru solicitant. Autentificatorul încapsulează apoi acest ID într-un pachet „RADIUS Access-Request” și îl transmite serverului de autentificare. Solicitantul poate, de asemenea, porni sau reporni autentificarea trimițând un cadru „EAPOL-Start” către autentificator, care la rândul său va răspunde printr-un cadru „Identitate EAP-Solicitare”.
Negociere („EAP Negotiation”) Serverul de autentificare trimite un răspuns (încapsulat într-un pachet „RADIUS Access-Challenge”) către autentificator, conținând o cerere EAP care specifică metoda EAP (adică tipul de autentificare EAP pe care solicitantul ar trebui să o utilizeze) . Autentificatorul încapsulează cererea EAP într-un cadru EAPOL și o transmite solicitantului. În acest moment, solicitantul poate începe să folosească metoda EAP sau să răspundă cu un NAK (Recunoaștere negativă) și ulterior cu metoda EAP pe care o pot folosi.
Autentificare Dacă serverul de autentificare și solicitantul sunt de acord cu metoda EAP, începe schimbul de cerere EAP și răspuns EAP (codificat de autentificator), până când serverul de autentificare răspunde cu un mesaj „EAP-Success” (încapsulat într-un pachet RADIUS Access) -Accept) sau cu un mesaj „EAP-Failure” (încapsulat într-un pachet RADIUS Access-Respins). Dacă autentificarea are succes, autentificatorul setează portul la starea „autorizat” permițând traficul; dacă autentificarea nu reușește, portul rămâne în starea neautorizată. Când solicitantul se deconectează, acesta trimite un mesaj „EAPOL-Logoff” către autentificator, care, prin urmare, setează portul la starea „neautorizat”, blocând încă o dată tot traficul non-EAP.

De ce se numește autentificare bazată pe port? Autentificatorul se ocupă de porturile controlate și necontrolate. Ambele tipuri de porturi sunt entități logice (porturi virtuale), dar utilizează aceeași conexiune fizică la LAN. Înainte de autentificare, doar ușa necontrolată este deschisă. Singurul trafic permis este EAPOL. După ce solicitantul a fost autentificat, ușa controlată este deschisă și accesul la resurse este acordat. Prin urmare, 802.1x nu oferă nicio autentificare; tot ce face este să ofere punctului de acces posibilitatea de a transmite acreditările clientului către serverul RADIUS și răspunsul acestuia către clientul însuși. Această funcționalitate este îndeplinită prin implementarea protocoalelor RADIUS și EAP.

EAPOL funcționează la nivelul legăturii de date ; într-un cadru Ethernet este indicat printr-o valoare câmp EtherType de 0x888E.

Implementări

Suport pentru Windows

Microsoft a implementat suport nativ pentru protocolul de autentificare 802.1x în Windows XP și pentru toate versiunile ulterioare. Windows 2000 include suport cu cea mai recentă actualizare. Există versiuni mai noi de software client separat, dar driverele plăcii de rețea au suport și pentru 802.1X.

În urma unei solicitări de autentificare nereușite, Windows este setat implicit să răspundă numai după 20 de minute la următoarea solicitare și acest lucru poate provoca anumite neplăceri clientului. Perioada de blocare poate fi configurată de valoarea BlockTime din registru. Pentru Windows XP SP3 și Windows Vista SP2 este necesară o remediere rapidă ^[8] pentru configurare. Certificatele de server wildcard nu sunt acceptate de EAPhost ^[9] , componenta Windows care oferă asistență EAP în sistemul de operare.

O problemă cunoscută a sistemelor de operare Microsoft de la Windows XP la Windows 7 este autentificarea prin IP mobil către VLAN, adesea prezența mai multor configurații pe client, cauzează probleme care duc la conectarea la VLAN greșit ^[10] ^[11] , o remediere rapidă este Disponibil pentru a corecta această problemă ^[12] ^[13] . O altă remediere rapidă trebuie descărcată și instalată atunci când un client din Windows XP nu poate utiliza autentificarea IEEE 802.1X ca utilizator PEAP cu PEAP-MSCHAPv2 într-un domeniu ^[14] .

Mac OS X

În 2008, Mac OS X a oferit suport nativ începând cu versiunea 10.3, în timp ce pentru dispozitivele mobile Apple din versiunea iOS 2.0 ^[15] .

Alte sisteme de operare

Linux implementează protocolul 802.1X atât pentru rețelele cu fir, cât și pentru cele fără fir. Android îl acceptă de la lansarea 1.6 Donut ^[16] ; Sistem de operare Chrome de la mijlocul anului 2011 ^[17]

Un proiect open source cunoscut sub numele de Open1X a produs un client numit Xsupplicant ^[18] , care este disponibil în prezent atât pentru Linux, cât și pentru Windows. Printre dezavantajele majore ale clientului Open1X este faptul că acesta nu oferă o documentație cuprinzătoare și cuprinzătoare pentru utilizator, precum și faptul că majoritatea furnizorilor de Linux nu furnizează pachetul de instalare. Cel mai popular wpa_supplicant poate fi utilizat pentru conexiuni wireless și cablate 802.11. Ambele acceptă o gamă largă de protocoale EAP.

Avenda Systems oferă un solicitant pentru Windows, Linux și Mac OS X, precum și un plugin pentru cadrul Microsoft NAP ^[19] , din care oferă un control de sănătate.

Utilizări

Eduroam (EDUcation ROAMing) este un serviciu de roaming internațional pentru personalul care lucrează în cercetare și educație, bazat pe o rețea wifi, care permite utilizatorilor înregistrați să utilizeze autentificarea 802.1X pentru acces sigur la rețele, atunci când vizitează alte instituții decât cea în care lucrează ^[20] .

Extensii proprietare

MAB

Nu toate dispozitivele acceptă autentificarea 802.1X. Acestea includ: imprimante de rețea, dispozitive electronice bazate pe Ethernet, cum ar fi senzori de mediu, camere și VOIP-uri, pentru care, trebuind utilizate în medii de conexiune securizate, trebuie prevăzute mecanisme alternative de autentificare.

O opțiune ar fi dezactivarea 802.1X pe acel port, dar acest lucru ar lăsa portul nesigur și deschis pentru un posibil atac. Un alt ceva mai fiabil ar fi utilizarea MAB. Când MAB este configurat într-un port, va încerca imediat să verifice dacă dispozitivul conectat este compatibil cu 802.1X și, dacă nu, va încerca să se conecteze cu serverul utilizând adresa MAC a dispozitivului, numele de utilizator și parola. În scopuri de autentificare, administratorul de rețea acționează pe serverul RADIUS, adăugând adresele ca utilizatori autorizați sau introducându-le într-un registru. Multe comutatoare Ethernet oferă acest serviciu ^[21] ^[22] .

Vulnerabilitate

În vara anului 2005, Steve Riley (Microsoft) a publicat un articol detaliat despre vulnerabilitatea protocolului 802.1X, referitoare la tehnica atacului omului în mijloc . Pe scurt, problema este că actul de autentificare are loc doar la începutul conexiunii, după care, totuși, este posibil ca un atacator să folosească portul dacă este capabil să se insereze fizic între computerul autentificat și la fel. Pentru rețelele cu fir, Riley sugerează utilizarea secunde IP sau o combinație de secunde IP și 802.1X ca soluții mai sigure. ^[23]

Cadrele EAPOL-Logoff transmise de solicitantul 802.1X sunt trimise în text clar și nu conțin date derivate din schimbul de acreditări care inițial permiteau autentificarea clientului ^[24] . Prin urmare, acestea sunt ușor de falsificat și pot fi utilizate într-un atac DoS țintit atât la rețelele cu fir, cât și la cele fără fir. Într-un atac EAPOL-Logoff, un al treilea actor rău intenționat care are acces la un dispozitiv la care este conectat autentificatorul trimite în mod continuu cadre EAPOL-Logoff modificate de adresa MAC a dispozitivului vizat. Presupunând că dispozitivul vizat dorește să finalizeze pasul de autentificare, autentificatorul închide sesiunea țintă, blocând astfel traficul de intrare, refuzând accesul la rețea.

Specificația tehnică 802.1X-2010 (în care 802.1af a fuzionat ulterior) abordează vulnerabilitățile specificației 802.1X anterioare, utilizând protocolul MACSec IEEE 802.1AE pentru a cripta date între porturile logice (care rulează deasupra portului fizic) și IEEE 802.1AR ( Secure Device Identity / DevID) dispozitive autentificate.

Ca soluție intermediară în așteptarea implementării pe scară largă a acestor măsuri, unii furnizori au extins protocoalele 802.1X-2001 și 802.1X-2004, permițând mai multe sesiuni de autentificare simultane pe un singur port. Cu toate acestea, în timp ce acest lucru previne traficul de la dispozitivele primite cu adrese MAC neautentificate, măsura nu oprește dispozitivele autentificate rău intenționate care spionează traficul și nu oferă protecție împotriva spoofing-ului MAC sau a atacurilor EAPOL-Logoff.

Alternativa furnizată de IETF este Protocolul pentru autentificarea de transport pentru acces la rețea (PANA), care acceptă și EAP, deși funcționează la nivelul 3 folosind UDP și, prin urmare, nu este legat de infrastructura 802.

Notă

^ RFC 3748 , § 3.3
^ RFC 3748 , § 7.12
^ IEEE 802.1X-2001, § 7
^ IEEE 802.1X-2004, § 3.2.2
^ IEEE 802.1X-2010, pagina iv
^ IEEE 802.1X-2010, § 5
^ 802.1X Concepte de autentificare bazate pe porturi
^ Un computer Windows XP, Windows Vista sau Windows Server 2008 nu răspunde la cererile de autentificare 802.1X timp de 20 de minute după o autentificare eșuată
^ "EAPHost în Windows Vista și Longhorn (18 ianuarie 2006)"
^ " Probleme la obținerea obiectelor de politică de grup, profiluri în roaming și scripturi de conectare de la un controler de domeniu bazat pe Windows Server 2003" . Support.microsoft.com. 14.09.2007.
^ "Un computer care este conectat la o rețea autentificată IEEE 802.1X printr-un telefon VOIP nu se conectează la rețeaua corectă după ce îl reluați din modul Hibernare sau din modul Repaus" . Support.microsoft.com. 08.02.2010.
^ https://support.microsoft.com/en-us/kb/980295 , la support.microsoft.com . Adus pe 14 iulie 2016 .
^ "Windows 7 sau Windows Server 2008 R2 nu răspunde la solicitările de autentificare 802.1X după ce autentificarea eșuează" . Support.microsoft.com. 08.03.2010
^ "Un computer client Windows XP Service Pack 3 nu poate utiliza autentificarea IEEE 802.1X atunci când utilizați PEAP cu PEAP-MSCHAPv2 într-un domeniu" . Support.microsoft.com. 23.04.2009.
^ Acces la rețele 802.1X în OS X Lion și Mountain Lion - Asistență Apple , la support.apple.com . Adus pe 14 iulie 2016 .
^ Repere ale platformei Android 1.6
^ Calculatorul care continuă să se îmbunătățească
^ Open1X-Home
^ Clienții NAP pentru Linux și Macintosh sunt disponibili
^ Eduroam-despre
^ Ghid de implementare a Bypass-ului de autentificare MAC
^ Ghidul CLI Dell PowerConnect 6200 series Arhivat 18 noiembrie 2012 la Internet Archive .
^ "Articolul lui Steve Riley despre vulnerabilitățile 802.1X"
^ IEEE 802.1X-2001, § 7.1

linkuri externe

( RO ) Site oficial pe 802.1x , la ieee802.org .
( RO ) Standardul 802.1x în PDF ( PDF ), la standards.ieee.org .
802.1X-2010 (PDF), standards.ieee.org
Rețea cu fir cu autentificare 802.1X pe Microsoft TechNet

Portal de securitate IT

Portal telematic

[1] RFC 3748 , § 3.3

[2] RFC 3748 , § 7.12

[3] IEEE 802.1X-2001, § 7

[4] IEEE 802.1X-2004, § 3.2.2

[5] IEEE 802.1X-2010, pagina iv

[6] IEEE 802.1X-2010, § 5

[7] 802.1X Concepte de autentificare bazate pe porturi

[8] Un computer Windows XP, Windows Vista sau Windows Server 2008 nu răspunde la cererile de autentificare 802.1X timp de 20 de minute după o autentificare eșuată

[9] "EAPHost în Windows Vista și Longhorn (18 ianuarie 2006)"

[10] " Probleme la obținerea obiectelor de politică de grup, profiluri în roaming și scripturi de conectare de la un controler de domeniu bazat pe Windows Server 2003" . Support.microsoft.com. 14.09.2007.

[11] "Un computer care este conectat la o rețea autentificată IEEE 802.1X printr-un telefon VOIP nu se conectează la rețeaua corectă după ce îl reluați din modul Hibernare sau din modul Repaus" . Support.microsoft.com. 08.02.2010.

[12] ttps://support.microsoft.com/en-us/kb/980295 , la support.microsoft.com . Adus pe 14 iulie 2016 .

[13] "Windows 7 sau Windows Server 2008 R2 nu răspunde la solicitările de autentificare 802.1X după ce autentificarea eșuează" . Support.microsoft.com. 08.03.2010

[14] "Un computer client Windows XP Service Pack 3 nu poate utiliza autentificarea IEEE 802.1X atunci când utilizați PEAP cu PEAP-MSCHAPv2 într-un domeniu" . Support.microsoft.com. 23.04.2009.

[15] Acces la rețele 802.1X în OS X Lion și Mountain Lion - Asistență Apple , la support.apple.com . Adus pe 14 iulie 2016 .

[16] Repere ale platformei Android 1.6

[17] Calculatorul care continuă să se îmbunătățească

[18] Open1X-Home

[19] Clienții NAP pentru Linux și Macintosh sunt disponibili

[20] Eduroam-despre

[21] Ghid de implementare a Bypass-ului de autentificare MAC

[22] Ghidul CLI Dell PowerConnect 6200 series Arhivat 18 noiembrie 2012 la Internet Archive .

[23] "Articolul lui Steve Riley despre vulnerabilitățile 802.1X"

[24] IEEE 802.1X-2001, § 7.1

[1]

[2]

[3],

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]