802.1X: che cosa ESATTAMENTE riguarda WPA ed EAP?

19

Capisco che 802.1X sia una sorta di controllo dell'autenticazione delle porte. Tuttavia, quando stavo verificando le impostazioni di crittografia per il mio wireless, ho trovato 802.1X in un menu a discesa insieme a WPA2, WPA e WEP, ma non vedo come possa essere un'alternativa per questi.

Qualcuno potrebbe spiegare in parole povere come si adatta 802.1X, forse anche in relazione al protocollo EAP? Tutto quello che so è che 802.1X fornisce due entità di porta logica per ogni porta fisica, una di queste è per l'autenticazione e penso che l'altra sia per il flusso dei messaggi EAP effettivi?

networking  wireless-networking  port  ieee802.1x  802.1x 
Jason
fonte

Risposte:

38

Il più vicino che posso fare ai termini del profano, leggermente semplificato e limitato al solo WPA2 per semplicità:

802.1X NON è un tipo di crittografia. È fondamentalmente solo un meccanismo di autenticazione per utente (ad esempio nome utente e password).

WPA2 è uno schema di sicurezza che specifica due aspetti principali della sicurezza wireless:

  • Autenticazione: la tua scelta di PSK ("Personal") o 802.1X ("Enterprise").
  • Crittografia: sempre AES-CCMP.

Se stai utilizzando la sicurezza WPA2 sulla tua rete, hai due opzioni di autenticazione: o devi usare una sola password per l'intera rete che tutti conoscono (questa è chiamata chiave pre-condivisa o PSK) oppure usi 802.1X per costringere ciascun utente a utilizzare le proprie credenziali di accesso univoche (ad esempio nome utente e password).

Indipendentemente dal tipo di autenticazione che hai impostato per utilizzare la tua rete, WPA2 utilizza sempre uno schema chiamato AES-CCMP per crittografare i dati via etere per motivi di riservatezza e per contrastare vari altri tipi di attacchi.

802.1X è "EAP su LAN" o EAPoL. EAP sta per "Extensible Authentication Protocol", il che significa che è una specie di schema plug-in per vari metodi di autenticazione. Qualche esempio:

  • Vuoi autenticare i tuoi utenti con nomi utente e password? Quindi "PEAP" è un buon tipo EAP da usare.
  • Vuoi autenticare i tuoi utenti tramite certificati? Quindi "EAP-TLS" è un buon tipo EAP da usare.
  • I dispositivi sulla tua rete sono tutti smartphone GSM con schede SIM? Quindi è possibile utilizzare "EAP-SIM" per eseguire l'autenticazione in stile scheda SIM GSM per accedere alla rete. ecc ecc.

Se si configura il router wireless per l'utilizzo di 802.1X, è necessario disporre di un modo per autenticare gli utenti tramite un tipo EAP. Alcuni router potrebbero avere la possibilità di inserire un elenco di nomi utente e password direttamente sul router e il router sa come eseguire l'intera autenticazione da solo. Ma la maggior parte richiederà probabilmente di configurare RADIUS. RADIUS è un protocollo che ti consente di conservare il tuo nome utente e il database delle password su un server centrale, quindi non devi apportare modifiche su ciascun router wireless separato ogni volta che aggiungi o elimini un utente o un utente cambia la sua password o qualcosa del genere. I router wireless che eseguono 802.1X in genere non sanno come autenticare direttamente gli utenti, sanno solo come effettuare il gateway tra 802.1X e RADIUS in modo che i computer client wireless vengano effettivamente autenticati da un server RADIUS sulla rete,

Se l'interfaccia utente del tuo router wireless ha "802.1X" in un elenco di tipi di crittografia , probabilmente significa "802.1X con WEP dinamico", che è un vecchio schema in cui 802.1X viene utilizzato per l'autenticazione e per utente per sessione Le chiavi WEP sono generate dinamicamente come parte del processo di autenticazione, e quindi WEP è in definitiva il metodo di crittografia utilizzato.

Aggiornamento re: due porte logiche

Per rispondere alla tua domanda su due entità della porta logica, ci sono due concetti separati nelle specifiche 802.1X a cui potresti riferirti.

Innanzitutto, la specifica 802.1X definisce i ruoli client e server per il protocollo 802.1X, ma li chiama rispettivamente Supplicant e Authenticator. All'interno del client wireless o del router wireless è presente un software che svolge il ruolo di Supplicant o Authenticator 802.1X. Questo software che svolge quel ruolo viene chiamato Port Access Entity o PAE dalla specifica.

In secondo luogo, le specifiche menzionano che all'interno, per esempio, della macchina client wireless, deve esserci un modo per il software 802.1X Supplicant di accedere all'interfaccia wireless per inviare e ricevere pacchetti EAP per eseguire l'autenticazione, anche quando nessun altro software di rete è attivo il tuo sistema è autorizzato a utilizzare ancora l'interfaccia wireless (poiché l'interfaccia di rete non è affidabile fino a quando non è stata autenticata). Quindi, nel bizzarro ingegnere legale dei documenti sulle specifiche IEEE, dice che esiste una "porta non controllata" logica a cui si collega il software client 802.1X e una "porta controllata" a cui si collega il resto dello stack di rete. Quando si tenta per la prima volta di connettersi a una rete 802.1X, viene abilitata solo la porta non controllata mentre il client 802.1X fa la sua cosa. Una volta che la connessione è stata autenticata (e, diciamo,

Risposta lunga, non tanto in parole
povere : IEEE 802.1X è un modo per eseguire l'autenticazione per utente o per dispositivo per LAN Ethernet cablate o wireless (e potenzialmente altri schemi di rete nella famiglia IEEE 802). È stato originariamente progettato e distribuito per reti Ethernet cablate e successivamente è stato adottato dal gruppo di lavoro IEEE 802.11 (LAN wireless), come parte dell'addendum di sicurezza 802.11i a 802.11, per fungere da metodo di autenticazione per utente o per dispositivo per reti 802.11.

Quando usi l'autenticazione 802.1X sulla tua rete WPA o WPA2, stai ancora utilizzando le crittografie di riservatezza e gli algoritmi di integrità dei messaggi di WPA o WPA2. Cioè, nel caso di WPA, stai ancora usando TKIP come codice di riservatezza e MIChael come controllo dell'integrità del messaggio. Nel caso di WPA2, stai usando AES-CCMP che è sia un codice di riservatezza che un controllo di integrità del messaggio.

La differenza quando si utilizza 802.1X è che non si utilizza più una chiave pre-condivisa di rete (PSK). Poiché non stai utilizzando un singolo PSK per tutti i dispositivi, il traffico di ciascun dispositivo è più sicuro. Con PSK, se conosci PSK e acquisisci l'handshake chiave quando un dispositivo si unisce alla rete, puoi decrittografare tutto il traffico di quel dispositivo. Ma con 802.1X, il processo di autenticazione genera in modo sicuro materiale di codifica utilizzato per creare una chiave master a coppie (PMK) unica per la connessione, quindi non c'è modo per un utente di decrittografare il traffico di un altro utente.

802.1X si basa su EAP, l'Extensible Authentication Protocol, originariamente sviluppato per PPP, ed è ancora ampiamente utilizzato nelle soluzioni VPN che utilizzano PPP all'interno del tunnel crittografato (LT2P-over-IPSec, PPTP, ecc.). In effetti, 802.1X viene generalmente definito "EAP su LAN" o "EAPoL".

EAP fornisce un meccanismo generico per il trasporto di messaggi di autenticazione (richieste di autenticazione, sfide, risposte, notifiche di successo, ecc.) Senza che il livello EAP debba conoscere i dettagli del particolare metodo di autenticazione utilizzato. Esistono diversi "tipi EAP" (meccanismi di autenticazione progettati per collegarsi a EAP) per eseguire l'autenticazione tramite nome utente e password, certificati, token card e altro.

A causa della storia di EAP con PPP e VPN, è sempre stato facilmente trasferito su RADIUS. Per questo motivo, è tipico (ma non tecnicamente necessario) che gli AP 802.11 che supportano 802.1X contengano un client RADIUS. Pertanto, in genere gli AP non conoscono il nome utente o la password di nessuno e nemmeno come elaborare vari tipi di autenticazione EAP, sanno solo come ricevere un messaggio EAP generico da 802.1X e trasformarlo in un messaggio RADIUS e inoltrarlo al server RADIUS . Quindi l'AP è solo un canale per l'autenticazione e non una parte di esso. Gli endpoint reali dell'autenticazione sono in genere il client wireless e il server RADIUS (o alcuni server di autenticazione upstream a cui il server RADIUS esegue il gateway).

Più storia di quella che volevi sapere: quando 802.11 fu creato per la prima volta, l'unico metodo di autenticazione supportato era una forma di autenticazione a chiave condivisa che utilizzava chiavi WEP a 40 o 104 bit e WEP era limitato a 4 chiavi per rete. Per accedere, tutti gli utenti o i dispositivi che si connettono alla rete devono conoscere uno dei 4 tasti di scelta rapida per la rete. Nello standard non era possibile autenticare ciascun utente o dispositivo separatamente. Inoltre, il modo in cui è stata eseguita l'autenticazione con chiave condivisa ha consentito attacchi di indovinare la chiave con forza bruta "oracle offline".

Molti fornitori di dispositivi 802.11 di classe enterprise hanno capito che l'autenticazione per utente (ovvero nome utente e password o certificato utente) o per dispositivo (certificato macchina) era necessaria per rendere 802.11 un successo nel mercato aziendale. Anche se 802.1X non era ancora del tutto fatto, Cisco prese una bozza di versione 802.1X, la limitò a un tipo EAP (una forma di EAP-MSCHAPv2), lo fece generare chiavi WEP dinamiche per dispositivo per sessione e creò quello che chiamavano "EAP leggero" o LEAP. Altri venditori hanno fatto cose simili, ma con nomi più clunkier come "802.1X con WEP dinamico".

La Wi-Fi Alliance (né la Wireless Ethernet Compatibility Alliance o "WECA") ha visto la reputazione meritatamente negativa di WEP e ha visto la frammentazione dello schema di sicurezza in atto nel settore, ma non vedeva l'ora che finisse il gruppo di lavoro IEEE 802.11 adottando 802.1X in 802.11i, quindi Wi-Fi Alliance ha creato Wi-Fi Protected Access (WPA) per definire uno standard interoperabile inter-vendor per correggere i difetti in WEP come codice di riservatezza (creando TKIP per sostituirlo), i difetti nell'autenticazione con chiave condivisa basata su WEP (creazione di WPA-PSK per sostituirla) e per fornire un modo per utilizzare 802.1X per l'autenticazione per utente o per dispositivo.

Quindi il gruppo di attività IEEE 802.11i ha terminato il proprio lavoro, scegliendo AES-CCMP come codice di riservatezza del futuro e adottando 802.1X, con alcune restrizioni per proteggerlo sulle reti wireless, per l'autenticazione per utente e per dispositivo per 802.11 LAN wireless. A sua volta, Wi-Fi Alliance ha creato WPA2 per certificare l'interoperabilità tra le implementazioni 802.11i. (La Wi-Fi Alliance è in realtà un'organizzazione di certificazione e marketing interoperativa e spesso preferisce lasciare che l'IEEE sia il vero organo degli standard WLAN. Ma se l'IEEE è troppo limitato e non si muove abbastanza velocemente per il settore, il Wi- Fi Alliance interverrà e farà un lavoro simile agli standard prima dell'IEEE, e di solito si discosterà allo standard IEEE correlato una volta uscito in seguito.)

spiff
fonte
Ehi amico, potresti semplicemente legare la parte che ho letto su 802.1x creando due porte logiche, con la risposta del tuo laico? Grazie
Jason
3
@Jason Ok, aggiornato. A proposito, 802.1X è una specifica autonoma (non un addendum ad un'altra specifica), quindi nelle convenzioni di denominazione IEEE, ottiene una lettera maiuscola. Quindi è 802.1X, non 802.1x. Ogni volta che vedi la documentazione o un articolo che sbaglia questo, prendilo come un segno di sciattezza e disattenzione ai dettagli e lascia che influisca su quanta fiducia riponi in quella documentazione o articolo.
Spiff
Quindi WPA2 / Enterprise è la crittografia AES e 802.1X è la crittografia WEP. Anche se entrambi usano 802.1X per l'autenticazione. Molto accuratamente documentato con un po 'di storia dietro tutto. Grazie @Spiff, vorrei poter votare due volte.
Brain2000,
@ Brain2000. Attento, la tua riformulazione semplificata è molto fuorviante. Può essere vero che alcuni AP hanno interfacce utente scadenti che dicono in modo fuorviante solo "802.1X" quando ciò che realmente significano è "802.1X con WEP dinamico". Ma 802.1X è un protocollo di autenticazione estensibile per LAN che non è specifico per 802.11, tanto meno WEP.
Spiff
@Spiff Hai ragione, è un'interfaccia utente scadente che mostra "WPA2 / Enterprise" e "802.1X" nello stesso menu a discesa. Dopotutto, questo è l'argomento di questa intera domanda. Quindi sì, penso che ciò che ho scritto sia esattamente ciò che intendevo scrivere. Non è una semplificazione eccessiva. È un'interfaccia utente scadente, come dici tu.
Brain2000,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.