Jump to content

ИЭЭЭ 802.1Х

(Перенаправлено из IEEE 802.1x )

IEEE 802.1X — это стандарт IEEE на основе портов для управления доступом к сети (PNAC). Он входит в IEEE 802.1 группу сетевых протоколов . Он обеспечивает механизм аутентификации для устройств, желающих подключиться к локальной или беспроводной локальной сети .

Стандарт напрямую касается техники атаки под названием «Добавление оборудования». [ 1 ] когда злоумышленник, выдавая себя за гостя, клиента или персонал, проносит в здание хакерское устройство, которое затем подключает к сети, предоставляя ему полный доступ. Яркий пример проблемы произошел в 2005 году, когда машина, подключенная к сети Walmart , взломала тысячи их серверов. [ 2 ]

IEEE 802.1X определяет инкапсуляцию расширяемого протокола аутентификации (EAP) в проводных IEEE 802. сетях [ 3 ] и более беспроводных сетей 802.11, [ 4 ] который известен как «EAP через LAN» или EAPOL. [ 5 ] Первоначально EAPOL был указан для IEEE 802.3 Ethernet, IEEE 802.5 Token Ring и FDDI (ANSI X3T9.5/X3T12 и ISO 9314) в 802.1X-2001. [ 6 ] но был расширен для соответствия другим технологиям локальных сетей IEEE 802, таким как беспроводная связь IEEE 802.11 в 802.1X-2004. [ 7 ] EAPOL также был модифицирован для использования с IEEE 802.1AE («MACsec») и IEEE 802.1AR (Secure Device Identity, DevID) в 802.1X-2010. [ 8 ] [ 9 ] для поддержки идентификации службы и дополнительного двухточечного шифрования во внутреннем сегменте локальной сети.

Данные EAP сначала инкапсулируются в кадры EAPOL между соискателем и аутентификатором, а затем повторно инкапсулируются между аутентификатором и сервером аутентификации с использованием RADIUS или Diameter .

В аутентификации 802.1X участвуют три стороны: запрашивающая сторона, аутентификатор и сервер аутентификации. Соискатель это клиентское устройство (например, ноутбук), которое желает подключиться к LAN/WLAN. Термин «запрашивающий» также используется как взаимозаменяемый для обозначения программного обеспечения, работающего на клиенте, которое предоставляет учетные данные аутентификатору. Аутентификатор — это сетевое устройство, которое обеспечивает канал передачи данных между клиентом и сетью и может разрешать или блокировать сетевой трафик между ними, например коммутатор Ethernet или точка беспроводного доступа ; и сервер аутентификации обычно является доверенным сервером, который может получать запросы на доступ к сети и отвечать на них, а также может сообщать аутентификатору, должно ли соединение быть разрешено, а также различные настройки, которые должны применяться к соединению или настройке этого клиента. Серверы аутентификации обычно используют программное обеспечение, поддерживающее протоколы RADIUS и EAP . В некоторых случаях программное обеспечение сервера аутентификации может работать на оборудовании аутентификатора.

Аутентификатор действует как охранник защищенной сети. Соискателю (т. е. клиентскому устройству) не разрешается доступ через аутентификатор к защищенной стороне сети до тех пор, пока личность соискателя не будет проверена и авторизована. При аутентификации на основе порта 802.1X запрашивающая сторона должна сначала предоставить аутентификатору необходимые учетные данные — они будут заранее указаны сетевым администратором и могут включать имя пользователя/пароль или разрешенный цифровой сертификат . Аутентификатор пересылает эти учетные данные на сервер аутентификации, чтобы решить, следует ли предоставить доступ. Если сервер аутентификации определяет, что учетные данные действительны, он сообщает об этом аутентификатору, который, в свою очередь, позволяет соискателю (клиентскому устройству) получить доступ к ресурсам, расположенным на защищенной стороне сети. [ 10 ]

Протокол работы

[ редактировать ]

EAPOL работает на канальном уровне , а в формирования кадров Ethernet II протоколе значение EtherType равно 0x888E.

Портовые предприятия

[ редактировать ]

802.1X-2001 определяет два объекта логического порта для аутентифицированного порта — «контролируемый порт» и «неконтролируемый порт». Контролируемый порт управляется 802.1X PAE (объект доступа к порту), чтобы разрешить (в авторизованном состоянии) или предотвратить (в неавторизованном состоянии) входящий и исходящий сетевой трафик в/из контролируемого порта. Неконтролируемый порт используется 802.1X PAE для передачи и приема кадров EAPOL.

802.1X-2004 определяет эквивалентные объекты порта для соискателя; поэтому заявитель, реализующий 802.1X-2004, может запретить использование протоколов более высокого уровня, если аутентификация не завершена успешно. Это особенно полезно, когда метод EAP, обеспечивающий взаимную аутентификацию используется , поскольку запрашивающая сторона может предотвратить утечку данных при подключении к неавторизованной сети.

Типичный процесс аутентификации

[ редактировать ]

Типичная процедура аутентификации состоит из:

Диаграмма последовательности развития 802.1X
  1. Инициализация При обнаружении нового соискателя порт коммутатора (аутентификатор) включается и устанавливается в «неавторизованное» состояние. В этом состоянии разрешен только трафик 802.1X; другой трафик, такой как Интернет-протокол (а вместе с ним и TCP и UDP ), отбрасывается.
  2. Инициирование . Чтобы инициировать аутентификацию, аутентификатор будет периодически передавать кадры идентификации EAP-запроса на специальный адрес уровня 2 (01:80:C2:00:00:03) в сегменте локальной сети. Соискатель прослушивает этот адрес и при получении кадра идентификации EAP-запроса отвечает кадром идентификации EAP-ответа, содержащим идентификатор соискателя, например идентификатор пользователя. Затем аутентификатор инкапсулирует этот ответ Identity в пакет запроса доступа RADIUS и пересылает его на сервер аутентификации. Запрашивающий может также инициировать или перезапустить аутентификацию, отправив кадр EAPOL-Start аутентификатору, который затем ответит кадром EAP-Request Identity.
  3. Согласование (технически согласование EAP). Сервер аутентификации отправляет ответ (инкапсулированный в пакете запроса доступа RADIUS ) аутентификатору, содержащий запрос EAP, определяющий метод EAP (тип аутентификации на основе EAP, который он желает выполнить соискателю). Аутентификатор инкапсулирует запрос EAP в кадр EAPOL и передает его запрашивающему устройству. На этом этапе заявитель может начать использовать запрошенный метод EAP или выполнить NAK («отрицательное подтверждение») и ответить методами EAP, которые он готов выполнить.
  4. Аутентификация. Если сервер аутентификации и соискатель согласовали метод EAP, запросы и ответы EAP передаются между соискателем и сервером аутентификации (переводятся аутентификатором) до тех пор, пока сервер аутентификации не ответит сообщением EAP-Success (инкапсулированным в сообщении RADIUS) доступа . -Accept package) или сообщение EAP-Failure (инкапсулированное в пакет RADIUS Access-Reject). Если аутентификация прошла успешно, аутентификатор переводит порт в «авторизованное» состояние и разрешается обычный трафик, в случае неудачи порт остается в «неавторизованном» состоянии. Когда соискатель выходит из системы, он отправляет аутентификатору сообщение о выходе из EAPOL, затем аутентификатор переводит порт в «неавторизованное» состояние, снова блокируя весь трафик, не относящийся к EAP.

Реализации

[ редактировать ]

Проект с открытым исходным кодом под названием Open1X создает клиент Xsupplicant . Этот клиент в настоящее время доступен как для Linux, так и для Windows. Основными недостатками клиента Open1X являются то, что он не предоставляет понятной и обширной пользовательской документации, а также то, что большинство поставщиков Linux не предоставляют для него пакетов. Более общий wpa_supplicant можно использовать для 802.11 беспроводных и проводных сетей . Оба поддерживают очень широкий спектр типов EAP. [ 11 ]

iPhone и поддерживают 802.1X с iPod Touch момента выпуска iOS 2.0. Android поддерживает 802.1X с момента выпуска 1.6 Donut. ChromeOS поддерживает 802.1X с середины 2011 года. [ 12 ]

macOS предлагает встроенную поддержку с версии 10.3 . [ 13 ]

Avenda Systems предоставляет программу для Windows , Linux и macOS . У них также есть плагин для платформы Microsoft NAP . [ 14 ] Avenda также предлагает средства для проверки здоровья.

По умолчанию Windows не отвечает на запросы аутентификации 802.1X в течение 20 минут после неудачной аутентификации. Это может привести к серьезным затруднениям в работе клиентов.

Период блокировки можно настроить с помощью HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc\BlockTime. [ 15 ] Значение DWORD (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc\BlockTime для беспроводных сетей) в реестре (вводится в минутах). Для Windows XP SP3 и Windows Vista SP2 требуется исправление , чтобы сделать период настраиваемым. [ 16 ]

Сертификаты сервера подстановочных знаков не поддерживаются EAPHost — компонентом Windows, обеспечивающим поддержку EAP в операционной системе. [ 17 ] Это означает, что при использовании коммерческого центра сертификации необходимо приобретать отдельные сертификаты.

Windows XP имеет серьезные проблемы с обработкой изменений IP-адресов в результате аутентификации пользователя 802.1X, которая изменяет VLAN и, следовательно, подсеть клиентов. [ 18 ] Microsoft заявила, что не будет поддерживать функцию SSO из Vista, которая решает эти проблемы. [ 19 ]

Если пользователи не входят в систему с перемещаемыми профилями, необходимо загрузить и установить исправление при проверке подлинности через PEAP с PEAP-MSCHAPv2. [ 20 ]

Windows Виста

[ редактировать ]

Компьютеры под управлением Windows Vista, подключенные через IP-телефон, могут не пройти проверку подлинности должным образом, и в результате клиент может быть помещен в неправильную VLAN. Доступно исправление, позволяющее исправить это. [ 21 ]

Компьютеры под управлением Windows 7, подключенные через IP-телефон, могут не пройти проверку подлинности должным образом, и, следовательно, клиент может быть помещен в неправильную VLAN. Доступно исправление, позволяющее исправить это. [ 21 ]

Windows 7 не отвечает на запросы аутентификации 802.1X после сбоя первоначальной аутентификации 802.1X. Это может привести к серьезным затруднениям в работе клиентов. Доступно исправление, позволяющее исправить это. [ 22 ]

Для большинства предприятий, развертывающих и развертывающих операционные системы удаленно, стоит отметить, что Windows PE не имеет встроенной поддержки 802.1X. Однако в WinPE 2.1 можно добавить поддержку. [ 23 ] и WinPE 3.0 [ 24 ] с помощью исправлений, доступных от Microsoft. Хотя полная документация еще не доступна, предварительную документацию по использованию этих исправлений можно найти в блоге Microsoft. [ 25 ]

Большинство дистрибутивов Linux поддерживают 802.1X через wpa_supplicant и интеграцию с рабочим столом, например NetworkManager .

устройства Apple

[ редактировать ]

Начиная с iOS 17 и macOS 14 , устройства Apple поддерживают подключение к сетям 802.1X с использованием EAP-TLS с TLS 1.3 (EAP-TLS 1.3). Кроме того, устройства под управлением iOS/iPadOS/tvOS 17 или более поздней версии поддерживают проводные сети 802.1X. [ 26 ] [ 27 ]

Федерации

[ редактировать ]

eduroam (служба международного роуминга) требует использования аутентификации 802.1X при предоставлении доступа к сети гостям, посещающим другие учреждения, поддерживающие eduroam. [ 28 ]

BT (British Telecom, PLC) использует Identity Federation для аутентификации в услугах, предоставляемых широкому кругу отраслей и правительств. [ 29 ]

Собственные расширения

[ редактировать ]

MAB (обход аутентификации MAC)

[ редактировать ]

Не все устройства поддерживают аутентификацию 802.1X. Примеры включают сетевые принтеры, электронику на базе Ethernet, например датчики окружающей среды, камеры и беспроводные телефоны. Для использования этих устройств в защищенной сетевой среде необходимо предоставить альтернативные механизмы их аутентификации.

Одним из вариантов было бы отключить 802.1X на этом порту, но в результате этот порт останется незащищенным и открытым для злоупотреблений. Другой, немного более надежный вариант — использовать опцию MAB. Когда MAB настроен на порту, этот порт сначала попытается проверить, совместимо ли подключенное устройство со стандартом 802.1X, и если от подключенного устройства не будет получено никакой реакции, он попытается пройти аутентификацию на сервере AAA, используя MAC-адрес подключенного устройства. как имя пользователя и пароль. Затем сетевой администратор должен обеспечить на сервере RADIUS возможность аутентификации этих MAC-адресов, либо добавляя их в качестве обычных пользователей, либо реализуя дополнительную логику для их разрешения в базе данных инвентаризации сети.

Многие управляемые коммутаторы Ethernet [ 30 ] предложите варианты для этого.

Уязвимости в 802.1X-2001 и 802.1X-2004

[ редактировать ]

Общие медиа

[ редактировать ]

Летом 2005 года Стив Райли из Microsoft опубликовал статью (основанную на оригинальном исследовании Microsoft MVP Святослава Пидгорного) с подробным описанием серьезной уязвимости в протоколе 802.1X, в которой участвует человек в середине атаки . Подводя итог, можно сказать, что недостаток связан с тем, что 802.1X аутентифицируется только в начале соединения, но после этой аутентификации злоумышленник может использовать аутентифицированный порт, если у него есть возможность физически вставить себя (возможно, с помощью рабочей группы). концентратор) между аутентифицированным компьютером и портом. Райли предполагает, что для проводных сетей более безопасным будет использование IPsec или комбинации IPsec и 802.1X. [ 31 ]

Кадры EAPOL-Logoff, передаваемые соискателем 802.1X, отправляются в открытом виде и не содержат данных, полученных в результате обмена учетными данными, который первоначально аутентифицировал клиента. [ 32 ] Поэтому их легко подделать на общих носителях, и их можно использовать как часть целевого DoS как в проводных, так и в беспроводных локальных сетях. При атаке EAPOL-Logoff злонамеренная третья сторона, имеющая доступ к среде, к которой подключен аутентификатор, неоднократно отправляет поддельные кадры EAPOL-Logoff с MAC-адреса целевого устройства. Аутентификатор (полагая, что целевое устройство желает завершить сеанс аутентификации) закрывает сеанс аутентификации цели, блокируя входящий трафик от цели и запрещая ей доступ к сети.

Спецификация 802.1X-2010, которая началась как 802.1af, устраняет уязвимости в предыдущих спецификациях 802.1X, используя MACsec IEEE 802.1AE для шифрования данных между логическими портами (работающими поверх физического порта) и IEEE 802.1AR (Secure Device Identity) . / DevID) аутентифицированные устройства. [ 8 ] [ 9 ] [ 33 ] [ 34 ]

В качестве временной меры, пока эти усовершенствования не будут широко реализованы, некоторые поставщики расширили протоколы 802.1X-2001 и 802.1X-2004, позволяя проводить несколько одновременных сеансов аутентификации на одном порту. Хотя это предотвращает попадание трафика от устройств с неаутентифицированными MAC-адресами на аутентифицированный порт 802.1X, это не остановит вредоносное устройство, отслеживающее трафик от аутентифицированного устройства, и не обеспечивает защиты от подмены MAC или атак EAPOL-Logoff.

Альтернативы

[ редактировать ]

, Альтернативой , поддерживаемой IETF является протокол аутентификации для доступа к сети (PANA), который также поддерживает EAP, хотя он работает на уровне 3, используя UDP, поэтому не привязан к инфраструктуре 802. [ 35 ]

См. также

[ редактировать ]
  1. ^ «Дополнения к аппаратному обеспечению, техника Т1200» . Attack.mitre.org . 18 апреля 2018 г. Проверено 10 апреля 2024 г.
  2. ^ Зеттер, Ким. «Взлом большой коробки: внутренняя история хакерской атаки Wal-Mart» . Проводной . ISSN   1059-1028 . Проверено 7 февраля 2024 г.
  3. ^ «Использование EAP в IEEE 802» . Расширяемый протокол аутентификации (EAP) . сек. 3.3. дои : 10.17487/RFC3748 . РФК 3748 .
  4. ^ «Связной уровень» . Расширяемый протокол аутентификации (EAP) . сек. 7.12. дои : 10.17487/RFC3748 . РФК 3748 .
  5. ^ IEEE 802.1X-2001, § 7.
  6. ^ IEEE 802.1X-2001, § 7.1 и 7.2.
  7. ^ IEEE 802.1X-2004, § 7.6.4.
  8. ^ Перейти обратно: а б IEEE 802.1X-2010, стр. iv
  9. ^ Перейти обратно: а б IEEE 802.1X-2010, § 5
  10. ^ «Концепции аутентификации на основе портов 802.1X» . Архивировано из оригинала 14 октября 2012 г. Проверено 30 июля 2008 г.
  11. ^ «eap_testing.txt от wpa_supplicant» . Проверено 10 февраля 2010 г.
  12. ^ Шет, Раджен (10 августа 2011 г.). «Компьютер, который становится лучше» . Официальный блог Google Cloud . Проверено 2 июля 2022 г.
  13. ^ Негрино, Том; Смит, Дори (2003). Mac OS X Unwired: Руководство для дома, офиса и в дороге . О'Рейли Медиа . п. 19. ISBN  978-0596005085 . Проверено 2 июля 2022 г.
  14. ^ «Доступны клиенты NAP для Linux и Macintosh» . Блог группы защиты доступа к сети (NAP) . 16 декабря 2008 г.
  15. ^ «20-минутная задержка при развертывании Windows 7 на 802.1x? Исправьте это здесь!» . Чувак, где мой PFE? блог . 24 января 2013 г.
  16. ^ «Компьютер под управлением Windows XP, Windows Vista или Windows Server 2008 не отвечает на запросы проверки подлинности 802.1X в течение 20 минут после неудачной проверки подлинности» . Поддержка Майкрософт . 17 сентября 2009 г. Проверено 3 июля 2022 г.
  17. ^ «EAPHost в Windows Vista и Longhorn (18 января 2006 г.)» . Документы Майкрософт . 18 января 2007 г. Проверено 3 июля 2022 г.
  18. ^ «У вас возникают проблемы при попытке получить объекты групповой политики, перемещаемые профили и сценарии входа в систему с контроллера домена под управлением Windows Server 2003» . Поддержка Майкрософт . 14 сентября 2007 г. Архивировано из оригинала 22 апреля 2008 г. Проверено 10 февраля 2010 г.
  19. ^ «802.1x с динамическим переключением VLAN — Проблемы с перемещаемыми профилями» . Форумы Microsoft TechNet . Архивировано из оригинала 24 августа 2011 г. Проверено 10 февраля 2010 г. В Vista это вообще не проблема с функцией единого входа, однако эта функция не существует в XP, и, к сожалению, у нас нет планов по переносу этой функции в XP, поскольку это слишком сложное изменение.
  20. ^ «Клиентский компьютер под управлением Windows XP с пакетом обновления 3 не может использовать проверку подлинности IEEE 802.1X при использовании PEAP с PEAP-MSCHAPv2 в домене» . Поддержка Майкрософт . 23 апреля 2009 г. Архивировано из оригинала 16 марта 2010 г. Проверено 23 марта 2010 г.
  21. ^ Перейти обратно: а б «Компьютер, подключенный к сети с проверкой подлинности IEEE 802.1X через телефон VOIP, не подключается к правильной сети после выхода из режима гибернации или спящего режима» . Поддержка Майкрософт . 08 февраля 2010 г. Проверено 3 июля 2022 г.
  22. ^ «Нет ответа на запросы аутентификации 802.1X после сбоя аутентификации на компьютере под управлением Windows 7 или Windows Server 2008 R2» . Поддержка Майкрософт . 08 марта 2010 г. Архивировано из оригинала 14 ноября 2010 г. Проверено 23 марта 2010 г.
  23. ^ «Windows PE 2.1 не поддерживает протокол аутентификации IEEE 802.1X» . Поддержка Майкрософт . 08.12.2009. Архивировано из оригинала 5 марта 2010 г. Проверено 10 февраля 2010 г.
  24. ^ «Протокол аутентификации IEEE 802.1X не поддерживается в среде предустановки Windows (PE) 3.0» . Поддержка Майкрософт . 08.12.2009 . Проверено 3 июля 2022 г.
  25. ^ «Добавление поддержки 802.1X в WinPE» . Блог Deployment Guys . 2 марта 2010 г. Архивировано из оригинала 17 июня 2011 г. Проверено 3 марта 2010 г.
  26. ^ «Примечания к выпуску для разработчиков iOS 17 beta 4» . Разработчик Apple . 25 июля 2023 г. Проверено 25 июля 2023 г.
  27. ^ «Примечания к выпуску для разработчиков macOS 14 beta 4» . Разработчик Apple . 25 июля 2023 г. Проверено 25 июля 2023 г.
  28. ^ «Как работает эдуроам?» . эдуроам . Проверено 3 июля 2022 г.
  29. ^ «Управление идентификацией и доступом BT» (PDF) . Архивировано из оригинала (PDF) 13 июня 2011 г. Проверено 17 августа 2010 г.
  30. ^ «Руководство по интерфейсу командной строки Dell PowerConnect серии 6200» (PDF) . п. 622, Редакция: A06, март 2011 г. Архивировано из оригинала (PDF) 18 ноября 2012 г. Проверено 26 января 2013 г.
  31. ^ Райли, Стив (9 августа 2005 г.). «Снижение угроз со стороны мошеннических машин — 802.1X или IPsec?» . Документы Майкрософт . Проверено 3 июля 2022 г.
  32. ^ IEEE 802.1X-2001, § 7.1.
  33. ^ «Утверждение досрочного рассмотрения, 2 февраля 2010 г.» . ИИЭЭ . Архивировано из оригинала 6 июля 2010 г. Проверено 10 февраля 2010 г.
  34. ^ «IEEE 802.1:802.1X-2010 — Версия 802.1X-2004» . Ieee802.org. 21 января 2010 г. Архивировано из оригинала 4 марта 2010 г. Проверено 10 февраля 2010 г.
  35. ^ Филип Голден; Эрве Дедье; Криста С. Якобсен (2007). Внедрение и применение технологии DSL . Тейлор и Фрэнсис. стр. 483–484. ISBN  978-1-4200-1307-8 .
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: cede2f1633e92407ffc67483ce45406d__1722387120
URL1:https://arc.ask3.ru/arc/aa/ce/6d/cede2f1633e92407ffc67483ce45406d.html
Заголовок, (Title) документа по адресу, URL1:
IEEE 802.1X - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)