IEEE 802.1X

IEEE 802.1X är en IEEE-standard för portbaserad nätverksåtkomstkontroll ( PNAC). Det är en del av IEEE 802.1- gruppen av nätverksprotokoll. Den tillhandahåller en autentiseringsmekanism för enheter som vill ansluta till ett LAN eller WLAN .

IEEE 802.1X definierar inkapslingen av Extensible Authentication Protocol (EAP) över trådbundna IEEE 802 -nätverk och över 802.11 trådlösa nätverk, vilket är känt som "EAP over LAN" eller EAPOL. EAPOL specificerades ursprungligen för IEEE 802.3 Ethernet, IEEE 802.5 Token Ring och FDDI (ANSI X3T9.5/X3T12 och ISO 9314) i 802.1X-2001, men utökades för att passa andra trådlösa IEEE 802 LAN-teknologier som 802IE.1EE 802IE.02. X-2004. EAPOL modifierades också för användning med IEEE 802.1AE ("MACsec") och IEEE 802.1AR (Secure Device Identity, DevID) i 802.1X-2010 för att stödja tjänsteidentifiering och valfri punkt-till-punkt-kryptering över det interna LAN-segmentet.

Översikt

EAP-data kapslas först in i EAPOL-ramar mellan anbudsgivaren och autentiseringsenheten, sedan återinkapslas mellan autentiseringsenheten och autentiseringsservern med RADIUS eller Diameter .

802.1X-autentisering involverar tre parter: en supplikant, en autentiseringsenhet och en autentiseringsserver. Den sökande är en klientenhet (som en bärbar dator) som vill ansluta till LAN/WLAN. Termen "supplicant" används också omväxlande för att referera till programvaran som körs på klienten och som ger autentiseringsuppgifterna. Autentiseringsenheten nätverksenhet som tillhandahåller en datalänk mellan klienten och nätverket och kan tillåta eller blockera nätverkstrafik mellan de två, såsom en Ethernet-switch eller trådlös åtkomstpunkt ; och autentiseringsservern är vanligtvis en betrodd server som kan ta emot och svara på förfrågningar om nätverksåtkomst, och kan tala om för autentiseringsenheten om anslutningen ska tillåtas, och olika inställningar som ska gälla för den klientens anslutning eller inställning. Autentiseringsservrar kör vanligtvis programvara som stöder RADIUS- och EAP -protokollen. I vissa fall kan programvaran för autentiseringsservern köras på autentiseringsmaskinvaran.

Autentiseringsenheten fungerar som en säkerhetsvakt till ett skyddat nätverk. Den sökande (dvs. klientenheten) tillåts inte tillträde via autentiseringsenheten till den skyddade sidan av nätverket förrän supplikantens identitet har validerats och auktoriserats. Med 802.1X-portbaserad autentisering måste den sökande först tillhandahålla de nödvändiga referenserna till autentiseringsenheten - dessa kommer att ha specificerats i förväg av nätverksadministratören och kan inkludera ett användarnamn/lösenord eller ett tillåtet digitalt certifikat . Autentiseringsenheten vidarebefordrar dessa autentiseringsuppgifter till autentiseringsservern för att besluta om åtkomst ska beviljas. Om autentiseringsservern fastställer att autentiseringsuppgifterna är giltiga, informerar den autentiseringsenheten, vilket i sin tur låter supplikanten (klientenheten) komma åt resurser som finns på den skyddade sidan av nätverket.

Protokolldrift

EAPOL arbetar över datalänklagret och har i Ethernet II ramprotokoll ett EtherType- värde på 0x888E.

Hamnenheter

802.1X-2001 definierar två logiska portentiteter för en autentiserad port - den "kontrollerade porten" och den "okontrollerade porten". Den kontrollerade porten manipuleras av 802.1X PAE (Port Access Entity) för att tillåta (i det auktoriserade tillståndet) eller förhindra (i det obehöriga tillståndet) nätverkstrafik in- och utträde till/från den kontrollerade porten. Den okontrollerade porten används av 802.1X PAE för att sända och ta emot EAPOL-ramar.

802.1X-2004 definierar motsvarande hamnenheter för supplikanten; så en supplikant som implementerar 802.1X-2004 kan förhindra att protokoll på högre nivå används om det inte är innehållet i att autentiseringen har slutförts. Detta är särskilt användbart när en EAP-metod som tillhandahåller ömsesidig autentisering används, eftersom supplikanten kan förhindra dataläckage när den är ansluten till ett obehörigt nätverk.

Typisk autentiseringsförlopp

Den typiska autentiseringsproceduren består av:

Sekvensdiagram över 802.1X-förloppet

1. Initiering Vid upptäckt av en ny supplikant aktiveras porten på switchen (autentiseringsanordningen) och ställs in på "obehörigt" tillstånd. I detta tillstånd är endast 802.1X-trafik tillåten; annan trafik, såsom Internetprotokollet ( och med det TCP och UDP ), tas bort.
2. Initiering För att initiera autentisering kommer autentiseringsenheten periodiskt att sända EAP-Request Identity-ramar till en speciell Layer 2-adress (01:80:C2:00:00:03) på det lokala nätverkssegmentet. Den sökande lyssnar på denna adress, och vid mottagande av EAP-Request Identity-ramen svarar den med en EAP-Response Identity-ram som innehåller en identifierare för sökanden, såsom ett användar-ID. Autentiseringsenheten kapslar sedan in detta identitetssvar i ett RADIUS Access-Request-paket och vidarebefordrar det till autentiseringsservern. Den sökande kan också initiera eller starta om autentisering genom att skicka en EAPOL-Start-ram till autentiseringsenheten, som sedan kommer att svara med en EAP-Request Identity-ram.
3. Förhandling (tekniskt EAP-förhandling) Autentiseringsservern skickar ett svar (inkapslat i ett RADIUS Access-Challenge-paket) till autentiseringsenheten, innehållande en EAP-förfrågan som anger EAP-metoden (den typ av EAP-baserad autentisering som den vill att supplikanten ska utföra). Autentiseringsenheten kapslar in EAP-begäran i en EAPOL-ram och sänder den till supplikanten. Vid denna tidpunkt kan sökanden börja använda den begärda EAP-metoden, eller göra en NAK ("Negative Acknowledgement") och svara med de EAP-metoder som den är villig att utföra.
4. Autentisering Om autentiseringsservern och supplikanten kommer överens om en EAP-metod, skickas EAP-förfrågningar och svar mellan supplikanten och autentiseringsservern (översatt av autentiseringsservern) tills autentiseringsservern svarar med antingen ett EAP-Success-meddelande (inkapslat i en RADIUS-åtkomst ) . -Acceptera paket), eller ett EAP-felmeddelande (inkapslat i ett RADIUS Access-Reject-paket). Om autentiseringen lyckas ställer autentiseringsenheten in porten till "auktoriserat" tillstånd och normal trafik tillåts, om den misslyckas förblir porten i det "oauktoriserade" tillståndet. När supplikanten loggar ut skickar den ett EAPOL-utloggningsmeddelande till autentiseringsenheten, autentiseringsenheten ställer sedan in porten till "obehörigt" tillstånd, vilket återigen blockerar all icke-EAP-trafik.

Genomföranden

Ett projekt med öppen källkod som heter Open1X producerar en klient, Xsupplicant . Denna klient är för närvarande tillgänglig för både Linux och Windows. De största nackdelarna med Open1X-klienten är att den inte tillhandahåller begriplig och omfattande användardokumentation och att de flesta Linux-leverantörer inte tillhandahåller ett paket för den. Den mer allmänna wpa_supplicant kan användas för 802.11 trådlösa nätverk och trådbundna nätverk. Båda stöder ett mycket brett utbud av EAP-typer.

iPhone och iPod Touch stöder 802.1X sedan lanseringen av iOS 2.0 . Android har stöd för 802.1X sedan lanseringen av 1.6 Donut. ChromeOS har stöd för 802.1X sedan mitten av 2011.

macOS har erbjudit inbyggt stöd sedan 10.3 .

Avenda Systems tillhandahåller en supplikant för Windows , Linux och macOS . De har också en plugin för Microsoft NAP -ramverket. Avenda erbjuder även hälsokontrollmedel.

Windows

Windows svarar som standard inte på 802.1X-autentiseringsbegäranden under 20 minuter efter en misslyckad autentisering. Detta kan orsaka betydande störningar för kunderna.

Blockeringsperioden kan konfigureras med HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc\BlockTime DWORD-värdet (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc\BlockTime för trådlösa nätverk) i registret (anges i minuter). En snabbkorrigering krävs för Windows XP SP3 och Windows Vista SP2 för att göra perioden konfigurerbar.

med jokertecken stöds inte av EAPHost, Windows-komponenten som ger EAP-stöd i operativsystemet. Innebörden av detta är att vid användning av en kommersiell certifikatutfärdare måste individuella certifikat köpas.

Windows XP

Windows XP har stora problem med sin hantering av IP-adressändringar till följd av användarbaserad 802.1X-autentisering som ändrar VLAN och därmed undernät av klienter. Microsoft har sagt att de inte kommer att backportera SSO -funktionen från Vista som löser dessa problem.

Om användare inte loggar in med roamingprofiler måste en snabbkorrigering laddas ner och installeras om de autentiseras via PEAP med PEAP-MSCHAPv2.

Windows Vista

Windows Vista-baserade datorer som är anslutna via en IP-telefon kanske inte autentiseras som förväntat och som ett resultat kan klienten placeras i fel VLAN. En snabbkorrigering finns tillgänglig för att rätta till detta.

Windows 7

Windows 7-baserade datorer som är anslutna via en IP-telefon kanske inte autentiseras som förväntat och följaktligen kan klienten placeras i fel VLAN. En snabbkorrigering finns tillgänglig för att rätta till detta.

Windows 7 svarar inte på 802.1X-autentiseringsförfrågningar efter att den första 802.1X-autentiseringen misslyckats. Detta kan orsaka betydande störningar för kunderna. En snabbkorrigering finns tillgänglig för att rätta till detta.

Windows PE

För de flesta företag som distribuerar och rullar ut operativsystem på distans är det värt att notera att Windows PE inte har inbyggt stöd för 802.1X. Stöd kan dock läggas till för WinPE 2.1 och WinPE 3.0 genom snabbkorrigeringar som är tillgängliga från Microsoft. Även om fullständig dokumentation ännu inte är tillgänglig, finns preliminär dokumentation för användningen av dessa snabbkorrigeringar tillgänglig via en Microsoft-blogg.

Linux

De flesta Linux-distributioner stöder 802.1X via wpa_supplicant och skrivbordsintegration som NetworkManager .

förbund

eduroam (den internationella roamingtjänsten), kräver användning av 802.1X-autentisering vid tillhandahållande av nätverksåtkomst till gäster som besöker från andra eduroam-aktiverade institutioner.

BT (British Telecom, PLC) använder Identity Federation för autentisering i tjänster som levereras till en mängd olika industrier och myndigheter.

Proprietära tillägg

MAB (MAC Authentication Bypass)

Alla enheter stöder inte 802.1X-autentisering. Exempel inkluderar nätverksskrivare, Ethernet-baserad elektronik som miljösensorer, kameror och trådlösa telefoner. För att dessa enheter ska kunna användas i en skyddad nätverksmiljö måste alternativa mekanismer tillhandahållas för att autentisera dem.

Ett alternativ skulle vara att inaktivera 802.1X på den porten, men det lämnar den porten oskyddad och öppen för missbruk. Ett annat, lite mer pålitligt alternativ är att använda MAB-alternativet. När MAB är konfigurerad på en port kommer den porten först att försöka kontrollera om den anslutna enheten är 802.1X-kompatibel, och om ingen reaktion tas emot från den anslutna enheten kommer den att försöka autentisera med AAA-servern med den anslutna enhetens MAC- adress som användarnamn och lösenord. Nätverksadministratören måste sedan göra åtgärder på RADIUS- servern för att autentisera dessa MAC-adresser, antingen genom att lägga till dem som vanliga användare eller implementera ytterligare logik för att lösa dem i en nätverksinventeringsdatabas.

Många hanterade Ethernet-switchar erbjuder alternativ för detta.

Sårbarheter i 802.1X-2001 och 802.1X-2004

Delad media

Sommaren 2005 publicerade Microsofts Steve Riley en artikel (baserad på den ursprungliga forskningen från Microsofts MVP Svyatoslav Pidgorny) som beskriver en allvarlig sårbarhet i 802.1X-protokollet, som involverade en man i mittenattacken . Sammanfattningsvis härrör felet från det faktum att 802.1X autentiseras endast i början av anslutningen, men efter den autentiseringen är det möjligt för en angripare att använda den autentiserade porten om han har förmågan att fysiskt infoga sig själv (kanske med hjälp av en arbetsgrupp) hubb) mellan den autentiserade datorn och porten. Riley föreslår att för trådbundna nätverk skulle användningen av IPsec eller en kombination av IPsec och 802.1X vara säkrare.

EAPOL-Logoff-ramar som sänds av 802.1X-supplikanten skickas i klartext och innehåller inga data som härrör från den autentiseringsutbyte som ursprungligen autentiserade klienten. De är därför trivialt enkla att förfalska på delade medier och kan användas som en del av en riktad DoS på både trådbundna och trådlösa LAN. I en EAPOL-Logoff-attack skickar en skadlig tredje part, med tillgång till mediet som autentiseringsenheten är kopplad till, upprepade gånger förfalskade EAPOL-Logoff-ramar från målenhetens MAC-adress. Autentiseringsenheten (som tror att den målinriktade enheten vill avsluta sin autentiseringssession) stänger målets autentiseringssession, blockerar trafik som tränger in från målet, nekar den åtkomst till nätverket.

802.1X-2010-specifikationen, som började som 802.1af, åtgärdar sårbarheter i tidigare 802.1X-specifikationer, genom att använda MACSec IEEE 802.1AE för att kryptera data mellan logiska portar (som körs ovanpå en fysisk port) och IEEE 802.1AR (Secure Device Identity) / DevID) autentiserade enheter.

Som ett stopp, tills dessa förbättringar har implementerats brett, har vissa leverantörer utökat protokollen 802.1X-2001 och 802.1X-2004, vilket gör att flera samtidiga autentiseringssessioner kan ske på en enda port. Även om detta förhindrar trafik från enheter med oautentiserade MAC-adresser som kommer in på en 802.1X-autentiserad port, kommer det inte att stoppa en skadlig enhet som snokar efter trafik från en autentiserad enhet och ger inget skydd mot MAC- spoofing eller EAPOL-Logoff-attacker.

Alternativ

Det IETF -stödda alternativet är Protocol for Carrying Authentication for Network Access (PANA), som också bär EAP, även om det fungerar på lager 3, med hjälp av UDP, och är således inte kopplat till 802-infrastrukturen.

Se även

• AEGIS SecureConnect
• IEEE 802.11i-2004

externa länkar

• IEEE-sida på 802.1X
• GetIEEE802 Ladda ner 802.1X-2020
• GetIEEE802 Ladda ner 802.1X-2010
• GetIEEE802 Ladda ner 802.1X-2004
• GetIEEE802 Ladda ner 802.1X-2001
• Ultimat trådlös säkerhetsguide: Självsignerade certifikat för din RADIUS-server
• WIRE1x
• Kabelanslutet nätverk med 802.1X-autentisering på Microsoft TechNet