IEEE 802.1X - это стандарт IEEE для управления доступом к сети (PNAC) на основе портов . Он входит в группу сетевых протоколов IEEE 802.1 . Он обеспечивает механизм аутентификации для устройств, желающих подключиться к LAN или WLAN .
IEEE 802.1X определяет инкапсуляцию протокола расширенной аутентификации (EAP) через IEEE 802.11 , [1] [2], который известен как «EAP через LAN» или EAPOL. [3] EAPOL был первоначально разработан для IEEE 802.3 Ethernet в 802.1X-2001, но был уточнен для соответствия другим технологиям IEEE 802 LAN, таким как беспроводной интерфейс IEEE 802.11 и интерфейс распределенных данных по оптоволокну (ANSI X3T9.5 / X3T12 и ISO 9314) в 802.1 Х-2004. [4] EAPOL также был модифицирован для использования с IEEE 802.1AE («MACsec») и IEEE 802.1AR (Secure Device Identity, DevID) в 802.1X-2010 [5] [6] для поддержки идентификации услуг и дополнительного шифрования точка-точка во внутреннем сегменте ЛВС.
Обзор
В аутентификации 802.1X участвуют три стороны: запрашивающая сторона, аутентификатор и сервер аутентификации. Проситель является клиентом устройство (например, ноутбук) , который хочет присоединить к LAN / WLAN. Термин «запрашивающий» также используется взаимозаменяемо для обозначения программного обеспечения, работающего на клиенте, которое предоставляет учетные данные аутентификатору. Аутентификатор является сетевым устройством , которое обеспечивает канал передачи данных между клиентом и сетью и может разрешить или блокировать сетевой трафик между ними, таким как переключатель Ethernet или беспроводной точкой доступа ; а сервер аутентификации обычно является доверенным сервером, который может принимать запросы на доступ к сети и отвечать на них, а также может сообщать аутентификатору, следует ли разрешить соединение, а также различные параметры, которые должны применяться к подключению или настройке этого клиента. Серверы аутентификации обычно запускают программное обеспечение, поддерживающее протоколы RADIUS и EAP . В некоторых случаях программное обеспечение сервера аутентификации может работать на оборудовании аутентификатора.
Аутентификатор действует как охранник защищенной сети. Запрашивающему устройству (т. Е. Клиентскому устройству) не разрешается доступ через аутентификатор к защищенной стороне сети до тех пор, пока его личность не будет подтверждена и авторизована. При аутентификации на основе портов 802.1X запрашивающий должен изначально предоставить необходимые учетные данные аутентификатору - они будут заранее указаны администратором сети и могут включать имя пользователя / пароль или разрешенный цифровой сертификат . Аутентификатор пересылает эти учетные данные на сервер аутентификации, чтобы решить, следует ли предоставить доступ. Если сервер аутентификации определяет, что учетные данные действительны, он сообщает об этом аутентификатору, который, в свою очередь, позволяет запрашивающему (клиентскому устройству) получить доступ к ресурсам, расположенным на защищенной стороне сети. [7]
Работа протокола
EAPOL работает на уровне канала передачи данных , а в протоколе кадрирования Ethernet II имеет значение EtherType 0x888E.
Портовые предприятия
802.1X-2001 определяет два логических объекта порта для аутентифицированного порта - «контролируемый порт» и «неуправляемый порт». Управляемым портом управляет 802.1X PAE (объект доступа к порту), чтобы разрешить (в авторизованном состоянии) или предотвратить (в неавторизованном состоянии) входящий и исходящий сетевой трафик в / из контролируемого порта. Неконтролируемый порт используется 802.1X PAE для передачи и приема кадров EAPOL.
802.1X-2004 определяет эквивалентные порты для запрашивающей стороны; таким образом, соискатель, реализующий 802.1X-2004, может предотвратить использование протоколов более высокого уровня, если это не содержимое, проверка подлинности которого успешно завершена. Это особенно полезно, когда используется метод EAP, обеспечивающий взаимную аутентификацию , поскольку соискатель может предотвратить утечку данных при подключении к неавторизованной сети.
Типичная последовательность аутентификации
Типичная процедура аутентификации состоит из:
- Инициализация При обнаружении нового соискателя порт на коммутаторе (аутентификаторе) включается и устанавливается в «неавторизованное» состояние. В этом состоянии разрешен только трафик 802.1X; другой трафик, такой как Интернет-протокол (а вместе с ним и TCP и UDP ), отбрасывается.
- Инициирование Чтобы инициировать аутентификацию, аутентификатор будет периодически передавать кадры идентификации EAP-Request на специальный адрес уровня 2 (01: 80: C2: 00: 00: 03) в сегменте локальной сети. Соискатель прослушивает этот адрес, и при получении кадра идентификатора EAP-запроса он отвечает кадром идентификатора EAP-Response, содержащим идентификатор для соискателя, такой как идентификатор пользователя. Затем аутентификатор инкапсулирует этот ответ Identity в пакет запроса доступа RADIUS и пересылает его на сервер аутентификации. Соискатель может также инициировать или перезапускать аутентификацию, отправив фрейм EAPOL-Start аутентификатору, который затем ответит фреймом EAP-Request Identity.
- Согласование (Технически согласование EAP) Сервер аутентификации отправляет ответ (инкапсулированный в пакет запроса доступа RADIUS) аутентификатору, содержащий запрос EAP, определяющий метод EAP (тип аутентификации на основе EAP, который он желает выполнить со стороны запрашивающего). Аутентификатор инкапсулирует запрос EAP в кадр EAPOL и передает его запрашивающей стороне. На этом этапе соискатель может начать использовать запрошенный метод EAP или выполнить NAK («отрицательное подтверждение») и ответить методами EAP, которые он желает выполнить.
- Аутентификация Если сервер аутентификации и соискатель согласовывают метод EAP, запросы и ответы EAP отправляются между соискателем и сервером аутентификации (переводятся аутентификатором) до тех пор, пока сервер аутентификации не ответит либо сообщением EAP-Success (инкапсулированным в RADIUS Access). -Accept packet) или сообщение EAP-Failure (инкапсулированное в пакет RADIUS Access-Reject). Если аутентификация прошла успешно, аутентификатор устанавливает порт в «авторизованное» состояние, и нормальный трафик разрешается, если он неуспешен, порт остается в «неавторизованном» состоянии. Когда соискатель выходит из системы, он отправляет аутентификатору сообщение EAPOL-logoff, затем аутентификатор устанавливает порт в «неавторизованное» состояние, снова блокируя весь трафик, не связанный с EAP.
Реализации
Проект с открытым исходным кодом, известный как Open1X, создает клиента Xsupplicant . Этот клиент в настоящее время доступен как для Linux, так и для Windows. Основные недостатки клиента Open1X заключаются в том, что он не предоставляет понятной и обширной пользовательской документации, а также в том, что большинство поставщиков Linux не предоставляют для него пакет. Более общий wpa_supplicant может использоваться для беспроводных сетей 802.11 и проводных сетей. Оба поддерживают очень широкий спектр типов EAP. [8]
IPhone и IPod Touch поддерживают 802.1X от выпуска прошивки 2.0. Android поддерживает 802.1X с момента выпуска 1.6 Donut. Chrome OS поддерживает 802.1X с середины 2011 года. [9]
Mac OS X предлагает встроенную поддержку с 10.3 . [10]
Avenda Systems предоставляет проситель для ОС Windows , Linux и Mac OS X . У них также есть плагин для платформы Microsoft NAP . [11] Avenda также предлагает агентов для проверки здоровья.
Окна
По умолчанию Windows не отвечает на запросы аутентификации 802.1X в течение 20 минут после неудачной аутентификации. Это может вызвать серьезные неудобства для клиентов.
Период блокировки можно настроить с помощью значения DWORD HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ dot3svc \ BlockTime [12] (HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ wlansvc \ BlockTime для беспроводных сетей) в реестре (вводится в минутах). Для Windows XP SP3 и Windows Vista SP2 требуется исправление, чтобы сделать период настраиваемым. [13]
Wildcard сертификаты серверов не поддерживается EAPHost, компонент Windows , который обеспечивает поддержку EAP в операционной системе. [14] Из этого следует, что при использовании коммерческого центра сертификации необходимо приобретать индивидуальные сертификаты.
Windows XP
Windows XP имеет серьезные проблемы с обработкой изменений IP-адресов в результате пользовательской аутентификации 802.1X, которая изменяет VLAN и, следовательно, подсеть клиентов. [15] Microsoft заявила, что не будет выполнять резервное копирование функции SSO из Vista, которая решает эти проблемы. [16]
Если пользователи не входят в систему с перемещаемыми профилями, необходимо загрузить и установить исправление при аутентификации через PEAP с помощью PEAP-MSCHAPv2. [17]
Виндоус виста
Компьютеры под управлением Windows Vista, подключенные через IP-телефон, могут не пройти аутентификацию должным образом, и в результате клиент может быть помещен в неправильную VLAN. Доступно исправление для исправления этого. [18]
Windows 7
Компьютеры под управлением Windows 7, подключенные через IP-телефон, могут не проходить аутентификацию должным образом, и в результате клиент может быть помещен в неправильную VLAN. Доступно исправление для исправления этого. [18]
Windows 7 не отвечает на запросы проверки подлинности 802.1X после сбоя первоначальной проверки подлинности 802.1X. Это может вызвать серьезные неудобства для клиентов. Доступно исправление для исправления этого. [19]
Windows PE
Для большинства предприятий, развертывающих и развертывающих операционные системы удаленно, стоит отметить, что Windows PE не имеет встроенной поддержки 802.1X. Однако поддержка может быть добавлена к WinPE 2.1 [20] и WinPE 3.0 [21] с помощью исправлений, доступных от Microsoft. Хотя полная документация еще не доступна, предварительная документация по использованию этих исправлений доступна в блоге Microsoft. [22]
OS X Mojave [23]
Linux
Большинство дистрибутивов Linux поддерживают 802.1X через wpa_supplicant и интеграцию с рабочим столом, такую как NetworkManager .
Федерации
eduroam (услуга международного роуминга) требует использования аутентификации 802.1X при предоставлении доступа к сети гостям, посещающим из других учреждений, поддерживающих eduroam. [24]
BT (British Telecom, PLC) использует Identity Federation для аутентификации в услугах, предоставляемых широкому кругу отраслей и правительств. [25]
Собственные расширения
MAB (обход проверки подлинности MAC)
Не все устройства поддерживают аутентификацию 802.1X. Примеры включают сетевые принтеры, электронику на базе Ethernet, такую как датчики окружающей среды, камеры и беспроводные телефоны. Для использования этих устройств в защищенной сетевой среде должны быть предусмотрены альтернативные механизмы их аутентификации.
Одним из вариантов было бы отключить 802.1X на этом порту, но это оставит этот порт незащищенным и открытым для злоупотреблений. Другой, чуть более надежный вариант - использовать вариант МАБ. Когда MAB настроен для порта, этот порт сначала попытается проверить, совместимо ли подключенное устройство с 802.1X, и, если от подключенного устройства не будет получено никакой реакции, он попытается аутентифицироваться на сервере AAA, используя MAC-адрес подключенного устройства. как имя пользователя и пароль. Затем сетевой администратор должен настроить сервер RADIUS для аутентификации этих MAC-адресов, либо добавив их в качестве обычных пользователей, либо реализовав дополнительную логику для их разрешения в базе данных инвентаризации сети.
Многие управляемые коммутаторы Ethernet [26] [27] предлагают варианты для этого.
Уязвимости в 802.1X-2001 и 802.1X-2004
Летом 2005 года Стив Райли из Microsoft опубликовал статью, в которой подробно описывалась серьезная уязвимость в протоколе 802.1X с участием человека в средней атаке . Таким образом, недостаток проистекает из того факта, что 802.1X аутентифицируется только в начале соединения, но после этой аутентификации злоумышленник может использовать аутентифицированный порт, если у него есть возможность физически вставить себя (возможно, используя рабочую группу hub) между аутентифицированным компьютером и портом. Райли предполагает, что для проводных сетей использование IPsec или комбинации IPsec и 802.1X будет более безопасным. [28]
Кадры EAPOL-Logoff, передаваемые соискателем 802.1X, отправляются в открытом виде и не содержат данных, полученных в результате обмена учетными данными, который первоначально аутентифицировал клиента. [29] Таким образом, их тривиально легко подделать на совместно используемых носителях, и их можно использовать как часть целевого DoS как в проводных, так и в беспроводных локальных сетях. В атаке EAPOL-Logoff злонамеренная третья сторона, имеющая доступ к среде, к которой подключен аутентификатор, неоднократно отправляет поддельные кадры EAPOL-Logoff с MAC-адреса целевого устройства. Аутентификатор (полагая, что целевое устройство желает завершить сеанс аутентификации) закрывает сеанс аутентификации целевого объекта, блокируя входящий трафик от целевого устройства, запрещая ему доступ к сети.
Спецификация 802.1X-2010, которая началась как 802.1af, устраняет уязвимости в предыдущих спецификациях 802.1X, используя MACSec IEEE 802.1AE для шифрования данных между логическими портами (работающими поверх физического порта) и IEEE 802.1AR (Secure Device Identity). / DevID) устройства, прошедшие проверку подлинности. [5] [6] [30] [31]
В качестве временной меры, пока эти улучшения не будут широко внедрены, некоторые поставщики расширили протоколы 802.1X-2001 и 802.1X-2004, допустив одновременное выполнение нескольких сеансов аутентификации на одном порте. Хотя это предотвращает попадание трафика от устройств с неаутентифицированными MAC-адресами на аутентифицированный порт 802.1X, это не остановит злонамеренное устройство, отслеживающее трафик с аутентифицированного устройства, и не обеспечивает защиты от подмены MAC-адресов или атак EAPOL-Logoff.
Альтернативы
IETF -backed альтернативой является протокол для переноски аутентификации для доступа к сети (PANA), который также несет EAP, хотя она работает на уровне 3, используя UDP, таким образом , не будучи привязанным к 802 инфраструктуре. [32]
Смотрите также
- AEGIS SecureConnect
- IEEE 802.11i-2004
Рекомендации
- ^ RFC 3748 , § 3.3
- ^ RFC 3748 , § 7.12
- ^ IEEE 802.1X-2001, § 7
- ^ IEEE 802.1X-2004, § 3.2.2
- ^ a b IEEE 802.1X-2010, стр. iv
- ^ a b IEEE 802.1X-2010, § 5
- ^ «Концепции аутентификации на основе портов 802.1X» . Проверено 30 июля 2008 .
- ^ "eap_testing.txt от wpa_supplicant" . Проверено 10 февраля 2010 .
- ^ «Компьютер, который становится все лучше» . Проверено 27 ноября 2013 .
- ^ «Apple - iPhone - Enterprise» . Проверено 31 июля 2008 .
- ^ «Доступны клиенты NAP для Linux и Macintosh» . 2008-12-16.
- ^ «20-минутная задержка развертывания Windows 7 на 802.1x» .
- ^ «Компьютер под управлением Windows XP, Windows Vista или Windows Server 2008 не отвечает на запросы проверки подлинности 802.1X в течение 20 минут после неудачной проверки подлинности» . Support.microsoft.com. 2009-09-17 . Проверено 23 марта 2010 .
- ^ «EAPHost в Windows Vista и Longhorn (18 января 2006 г.)» . Technet.microsoft.com. 2007-01-18 . Проверено 24 марта 2010 .
- ^ «Проблемы при получении объектов групповой политики, перемещаемых профилей и сценариев входа в систему с контроллера домена под управлением Windows Server 2003» . Support.microsoft.com. 2007-09-14 . Проверено 10 февраля 2010 .
- ^ «802.1X с динамической коммутацией VLAN - проблемы с перемещаемыми профилями» . Forums.technet.microsoft.com . Проверено 10 февраля 2010 .
- ^ «Клиентский компьютер под управлением Windows XP с пакетом обновления 3 не может использовать проверку подлинности IEEE 802.1X при использовании PEAP с PEAP-MSCHAPv2 в домене» . Support.microsoft.com. 2009-04-23 . Проверено 23 марта 2010 .
- ^ а б «Компьютер, подключенный к сети с проверкой подлинности IEEE 802.1X через телефон VOIP, не подключается к правильной сети после выхода из режима гибернации или спящего режима» . Support.microsoft.com. 2010-02-08 . Проверено 23 марта 2010 .
- ^ «Windows 7 или Windows Server 2008 R2 не отвечает на запросы проверки подлинности 802.1X после сбоя проверки подлинности» . Support.microsoft.com. 2010-03-08 . Проверено 23 марта 2010 .
- ^ «Windows PE 2.1 не поддерживает протокол проверки подлинности IEEE 802.1X» . Support.microsoft.com. 2009-12-08 . Проверено 10 февраля 2010 .
- ^ «Протокол проверки подлинности IEEE 802.1X не поддерживается в среде предустановки Windows (PE) 3.0» . Support.microsoft.com. 2009-12-08 . Проверено 10 февраля 2010 .
- ^ «Добавление поддержки 802.1X в WinPE» . Blogs.technet.com. 2010-03-02 . Проверено 3 марта 2010 .
- ^ «Подключитесь к сети 802.1X на Mac» . support.apple.com . Проверено 2 декабря 2019 .
- ^ «Эдуроам - О» . Проверено 29 ноября 2009 .
- ^ «BT Identity and Access Management» (PDF) . Проверено 17 августа 2010 .
- ^ «Руководство по развертыванию обхода аутентификации MAC» . Май 2011 . Проверено 26 января 2012 года .
- ^ «Руководство по интерфейсу командной строки для Dell PowerConnect 6200 series» (PDF) . п. 622, Редакция: A06-марта 2011 года Архивировано из оригинального (PDF) на 2012-11-18 . Проверено 26 января 2013 года .
- ^ «Статья Стива Райли об уязвимостях 802.1X» . Microsoft.com. 2005-08-09 . Проверено 16 января 2018 .
- ^ IEEE 802.1X-2001, § 7.1
- ^ «Утверждение о досрочном рассмотрении от 2 февраля 2010 г.» . Standards.ieee.org . Проверено 10 февраля 2010 .
- ^ «IEEE 802.1: 802.1X-2010 - версия 802.1X-2004» . Ieee802.org. 2010-01-21 . Проверено 10 февраля 2010 .
- ^ Филип Голден; Эрве Дедье; Криста С. Якобсен (2007). Внедрение и применение технологии DSL . Тейлор и Фрэнсис. С. 483–484. ISBN 978-1-4200-1307-8.
Внешние ссылки
- Страница IEEE по 802.1X
- GetIEEE802 Загрузить 802.1X-2010
- GetIEEE802 Загрузить 802.1X-2004
- GetIEEE802 Загрузить 802.1X-2001
- Полное руководство по безопасности беспроводной сети: самозаверяющие сертификаты для вашего сервера RADIUS
- ПРОВОД1x
- Проводная сеть с проверкой подлинности 802.1X в Microsoft TechNet