IEEE 802.1x
(Port Based Network Access Control)
IEEE 802.1x
standard IEEE basato sul controllo delle porte di accesso alla rete LAN e MAN.
collegamento punto a punto
utilizzato dalle reti locali wireless per gestire le connessioni agli access point
si basa sul protocollo EAP, Extensible Authentication Protocol
802.1x: attori coinvolti
Supplicant, il client che richiede di essere autenticato
Authenticator, il dispositivo che esegue l'inoltro della richiesta di accesso
Authentication Server, il dispositivo che effettua il controllo sulle credenziali
di accesso del supplicant ed autorizza l'accesso (un server RADIUS )
Di cosa c’è bisogno?
un'infrastruttura di supporto, in particolare di client che supportino 802.1X
switch LAN e access point wireless che possano utilizzare 802.1X
un server RADIUS e un database di account (come Active Directory).
Configurazione server RADIUS
RADIUS
RADIUS (Remote Access Dial-In User Service)
protocollo AAA (authentication, authorization, accounting) utilizzato in applicazioni di accesso alle reti o di mobilità IP.
RADIUS è attualmente lo standard de-facto per l’autenticazione remota,
prevalendo sia nei sistemi nuovi che in quelli già esistenti.
RADIUS: aspetti fondamentali
RADIUS è un protocollo ampiamente utilizzato negli ambienti distribuiti. ( router, server modem, switch ecc.)
Gestione di sistemi integrati con un gran numero di utenti con informazioni di autenticazione distinte
RADIUS facilita l’amministrazione utente centralizzata, (gestione operazioni di migliaia di utenti)
amministrazione centralizzata requisito operativo.
RADIUS: aspetti fondamentali(2)
RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli di autenticazione remota offrono una protezione intermittente, inadeguata o addirittura inesistente.
Un supporto RADIUS è supportato da parte dei fornitori di hardware uniformemente .
Difetto UDP
Configurazione RADIUS
IAS
Certificate Service
Server Web (Apache o IIS)
Configurazione AP
Configurazione tipologia crittografia
Configurazione password o certificati
Configurazione indirizzi IP
Configurazione client
Configurazione metodo crittografia
Configurazione metodo autenticazione (MD5,PEAP)
Configurazione settaggi della connessione
wireless
Funzionamento
Richiesta accesso nodo wireless (WN) alle risorse di una LAN (supplicant del nodo wireless)
L’access point (AP) ne richiede l’identità. Nessun altro tipo di traffico è consentito oltre a EAP(EAPOL).
Il supplicant fornisce le risposte all’autenticatore (si dice che invia la propria
identità) che ne verificherà le credenziali.
Funzionamento (2)
L’autenticatore re-incapsula i messaggi EAP(formato EAPOL) in formato RADIUS, e li passa al server di autenticazione.
Il server RADIUS interpreta la richiesta RADIUS confrontando l’identità del richiedente con i clients abilitati residenti nel DB.
il server di autenticazione invia un messaggio di successo (o di
fallimento, se l’autenticazione fallisce). L’autenticatore quindi apre la
“porta” al supplicant
Dopo un’autenticazione andata a buon fine, viene garantito al
supplicant l’accesso alle altre risorse della LAN e/o ad Internet.
Considerazioni
802.1x non fornisce dunque alcuna autenticazione;
dare all’access point la capacità di inoltrare le credenziali del client al server RADIUS e la relativa risposta verso il client stesso.
funzionalità trova compimento implementando i protocolli RADIUS e EAP.
EAP
protocollo utilizzato inizialmente per dial-up PPP.
L’identità era l’ username, ed era utilizzata l’autenticazione PAP o CHAP per verificare la password dell’utente.
Poiché l’identità è inviata in chiaro, uno sniffer malintenzionato può venirne
facilmente a conoscenza. Dopo l’autenticazione si ha un tunnel TLS crittato.
Tipologie EAP: MD5
EAP-MD5
MD5 (=CHAP) algoritmo hash a senso unico utilizzato in combinazione con un segreto condiviso e una richiesta di identificazione .
basso livello di sicurezza PUNTI DEBOLI:
ottenere la richiesta e la risposta hash tramite sniffing
vulnerabile agli attacchi basati su dizionario.
Tipologie EAP: TLS
EAP-TLS.
sessione TLS (Transport Layer Security)
Invio, autenticazione e convalida reciproca del certificato digitale tra il richiedente (certificato server) e il server autenticazione (certificato client) MIGLIORAMENTI:
Maggiore sicurezza (rispetto all’MD5)
Tipologie EAP: PEAP
PEAP (Protected EAP).
PEAP avvia la procedura come EAP:
sessione TLS con il richiedente
Invio (solo da parte del server) dell proprio certificato digitale per la convalida.
l'autenticazione del richiedente (in Windows MS-CHAPv2) tramite account tradizionali (ID e password dell'utente o del computer).
PEAP-EAP-TLS
Metodo Chiave dinamica Mutua autenticazione ID e pw Metodi di attacco Commenti
MD5 No No Sì
Attacco basato su diz ionario
Man in the middle
Dirottamento di sess ione
Facile da implementare
Supportato su molti server
Insicuro
Richiede database con testo in chiaro
TLS Sì Sì No Offre un'elevata sicurezza
Richiede certificati del client
Innalza i costi di manutenzione
Autenticazione a due fattori con smart-card
SRP Sì Sì Sì Attacco basato su
dizionario
Assenza di certificati
Attacco su dizionario per le credenziali
Diritti di proprietà intellettuale
Metodo Chiave
dinamica Mutua autenticazione ID e pw Metodi di attacco Commenti
SIM Sì Sì No Vulnerabile allo spoofing
Infrastruttura basata sul
roaming GSM
Autenticazione a due fattori
AKA Sì Sì No Elevata sicurezza per ambienti
cellulari
Infrastruttura basata sul roaming GSM
Autenticazione a due fattori
SecurID No No No Man-in-the-middle
Dirottamento di sessione
Richiede autenticazione sotto tunnel
Autenticazione a due fattori
TTLS Sì Sì No Elevata sicurezza
Creazione di un tunnel TLS (SSL) sicuro
Supporta i tradizionali metodi di autenticazione: PAP, CHAP, MS-CHAP, MS-CHAP V2