ИЭЭЭ 802.1Х
IEEE 802.1X — это стандарт IEEE на основе портов для управления доступом к сети (PNAC). Он входит в IEEE 802.1 группу сетевых протоколов . Он обеспечивает механизм аутентификации для устройств, желающих подключиться к локальной или беспроводной локальной сети .
Стандарт напрямую касается техники атаки под названием «Добавление оборудования». [ 1 ] когда злоумышленник, выдавая себя за гостя, клиента или персонал, проносит в здание хакерское устройство, которое затем подключает к сети, предоставляя ему полный доступ. Яркий пример проблемы произошел в 2005 году, когда машина, подключенная к сети Walmart , взломала тысячи их серверов. [ 2 ]
IEEE 802.1X определяет инкапсуляцию расширяемого протокола аутентификации (EAP) в проводных IEEE 802. сетях [ 3 ] и более беспроводных сетей 802.11, [ 4 ] который известен как «EAP через LAN» или EAPOL. [ 5 ] Первоначально EAPOL был указан для IEEE 802.3 Ethernet, IEEE 802.5 Token Ring и FDDI (ANSI X3T9.5/X3T12 и ISO 9314) в 802.1X-2001. [ 6 ] но был расширен для соответствия другим технологиям локальных сетей IEEE 802, таким как беспроводная связь IEEE 802.11 в 802.1X-2004. [ 7 ] EAPOL также был модифицирован для использования с IEEE 802.1AE («MACsec») и IEEE 802.1AR (Secure Device Identity, DevID) в 802.1X-2010. [ 8 ] [ 9 ] для поддержки идентификации службы и дополнительного двухточечного шифрования во внутреннем сегменте локальной сети.
Обзор
[ редактировать ]В аутентификации 802.1X участвуют три стороны: запрашивающая сторона, аутентификатор и сервер аутентификации. Соискатель — это клиентское устройство (например, ноутбук), которое желает подключиться к LAN/WLAN. Термин «запрашивающий» также используется как взаимозаменяемый для обозначения программного обеспечения, работающего на клиенте, которое предоставляет учетные данные аутентификатору. Аутентификатор — это сетевое устройство, которое обеспечивает канал передачи данных между клиентом и сетью и может разрешать или блокировать сетевой трафик между ними, например коммутатор Ethernet или точка беспроводного доступа ; и сервер аутентификации обычно является доверенным сервером, который может получать запросы на доступ к сети и отвечать на них, а также может сообщать аутентификатору, должно ли соединение быть разрешено, а также различные настройки, которые должны применяться к соединению или настройке этого клиента. Серверы аутентификации обычно используют программное обеспечение, поддерживающее протоколы RADIUS и EAP . В некоторых случаях программное обеспечение сервера аутентификации может работать на оборудовании аутентификатора.
Аутентификатор действует как охранник защищенной сети. Соискателю (т. е. клиентскому устройству) не разрешается доступ через аутентификатор к защищенной стороне сети до тех пор, пока личность соискателя не будет проверена и авторизована. При аутентификации на основе порта 802.1X запрашивающая сторона должна сначала предоставить аутентификатору необходимые учетные данные — они будут заранее указаны сетевым администратором и могут включать имя пользователя/пароль или разрешенный цифровой сертификат . Аутентификатор пересылает эти учетные данные на сервер аутентификации, чтобы решить, следует ли предоставить доступ. Если сервер аутентификации определяет, что учетные данные действительны, он сообщает об этом аутентификатору, который, в свою очередь, позволяет соискателю (клиентскому устройству) получить доступ к ресурсам, расположенным на защищенной стороне сети. [ 10 ]
Протокол работы
[ редактировать ]EAPOL работает на канальном уровне , а в формирования кадров Ethernet II протоколе значение EtherType равно 0x888E.
Портовые предприятия
[ редактировать ]802.1X-2001 определяет два объекта логического порта для аутентифицированного порта — «контролируемый порт» и «неконтролируемый порт». Контролируемый порт управляется 802.1X PAE (объект доступа к порту), чтобы разрешить (в авторизованном состоянии) или предотвратить (в неавторизованном состоянии) входящий и исходящий сетевой трафик в/из контролируемого порта. Неконтролируемый порт используется 802.1X PAE для передачи и приема кадров EAPOL.
802.1X-2004 определяет эквивалентные объекты порта для соискателя; поэтому заявитель, реализующий 802.1X-2004, может запретить использование протоколов более высокого уровня, если аутентификация не завершена успешно. Это особенно полезно, когда метод EAP, обеспечивающий взаимную аутентификацию используется , поскольку запрашивающая сторона может предотвратить утечку данных при подключении к неавторизованной сети.
Типичный процесс аутентификации
[ редактировать ]Типичная процедура аутентификации состоит из:
- Инициализация При обнаружении нового соискателя порт коммутатора (аутентификатор) включается и устанавливается в «неавторизованное» состояние. В этом состоянии разрешен только трафик 802.1X; другой трафик, такой как Интернет-протокол (а вместе с ним и TCP и UDP ), отбрасывается.
- Инициирование . Чтобы инициировать аутентификацию, аутентификатор будет периодически передавать кадры идентификации EAP-запроса на специальный адрес уровня 2 (01:80:C2:00:00:03) в сегменте локальной сети. Соискатель прослушивает этот адрес и при получении кадра идентификации EAP-запроса отвечает кадром идентификации EAP-ответа, содержащим идентификатор соискателя, например идентификатор пользователя. Затем аутентификатор инкапсулирует этот ответ Identity в пакет запроса доступа RADIUS и пересылает его на сервер аутентификации. Запрашивающий может также инициировать или перезапустить аутентификацию, отправив кадр EAPOL-Start аутентификатору, который затем ответит кадром EAP-Request Identity.
- Согласование (технически согласование EAP). Сервер аутентификации отправляет ответ (инкапсулированный в пакете запроса доступа RADIUS ) аутентификатору, содержащий запрос EAP, определяющий метод EAP (тип аутентификации на основе EAP, который он желает выполнить соискателю). Аутентификатор инкапсулирует запрос EAP в кадр EAPOL и передает его запрашивающему устройству. На этом этапе заявитель может начать использовать запрошенный метод EAP или выполнить NAK («отрицательное подтверждение») и ответить методами EAP, которые он готов выполнить.
- Аутентификация. Если сервер аутентификации и соискатель согласовали метод EAP, запросы и ответы EAP передаются между соискателем и сервером аутентификации (переводятся аутентификатором) до тех пор, пока сервер аутентификации не ответит сообщением EAP-Success (инкапсулированным в сообщении RADIUS) доступа . -Accept package) или сообщение EAP-Failure (инкапсулированное в пакет RADIUS Access-Reject). Если аутентификация прошла успешно, аутентификатор переводит порт в «авторизованное» состояние и разрешается обычный трафик, в случае неудачи порт остается в «неавторизованном» состоянии. Когда соискатель выходит из системы, он отправляет аутентификатору сообщение о выходе из EAPOL, затем аутентификатор переводит порт в «неавторизованное» состояние, снова блокируя весь трафик, не относящийся к EAP.
Реализации
[ редактировать ]Этот раздел содержит контент, написанный как реклама . ( Март 2024 г. ) |
Проект с открытым исходным кодом под названием Open1X создает клиент Xsupplicant . Этот клиент в настоящее время доступен как для Linux, так и для Windows. Основными недостатками клиента Open1X являются то, что он не предоставляет понятной и обширной пользовательской документации, а также то, что большинство поставщиков Linux не предоставляют для него пакетов. Более общий wpa_supplicant можно использовать для 802.11 беспроводных и проводных сетей . Оба поддерживают очень широкий спектр типов EAP. [ 11 ]
iPhone и поддерживают 802.1X с iPod Touch момента выпуска iOS 2.0. Android поддерживает 802.1X с момента выпуска 1.6 Donut. ChromeOS поддерживает 802.1X с середины 2011 года. [ 12 ]
macOS предлагает встроенную поддержку с версии 10.3 . [ 13 ]
Avenda Systems предоставляет программу для Windows , Linux и macOS . У них также есть плагин для платформы Microsoft NAP . [ 14 ] Avenda также предлагает средства для проверки здоровья.
Окна
[ редактировать ]По умолчанию Windows не отвечает на запросы аутентификации 802.1X в течение 20 минут после неудачной аутентификации. Это может привести к серьезным затруднениям в работе клиентов.
Период блокировки можно настроить с помощью HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc\BlockTime. [ 15 ] Значение DWORD (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc\BlockTime для беспроводных сетей) в реестре (вводится в минутах). Для Windows XP SP3 и Windows Vista SP2 требуется исправление , чтобы сделать период настраиваемым. [ 16 ]
Сертификаты сервера подстановочных знаков не поддерживаются EAPHost — компонентом Windows, обеспечивающим поддержку EAP в операционной системе. [ 17 ] Это означает, что при использовании коммерческого центра сертификации необходимо приобретать отдельные сертификаты.
Windows ХР
[ редактировать ]Windows XP имеет серьезные проблемы с обработкой изменений IP-адресов в результате аутентификации пользователя 802.1X, которая изменяет VLAN и, следовательно, подсеть клиентов. [ 18 ] Microsoft заявила, что не будет поддерживать функцию SSO из Vista, которая решает эти проблемы. [ 19 ]
Если пользователи не входят в систему с перемещаемыми профилями, необходимо загрузить и установить исправление при проверке подлинности через PEAP с PEAP-MSCHAPv2. [ 20 ]
Windows Виста
[ редактировать ]Компьютеры под управлением Windows Vista, подключенные через IP-телефон, могут не пройти проверку подлинности должным образом, и в результате клиент может быть помещен в неправильную VLAN. Доступно исправление, позволяющее исправить это. [ 21 ]
Windows 7
[ редактировать ]Компьютеры под управлением Windows 7, подключенные через IP-телефон, могут не пройти проверку подлинности должным образом, и, следовательно, клиент может быть помещен в неправильную VLAN. Доступно исправление, позволяющее исправить это. [ 21 ]
Windows 7 не отвечает на запросы аутентификации 802.1X после сбоя первоначальной аутентификации 802.1X. Это может привести к серьезным затруднениям в работе клиентов. Доступно исправление, позволяющее исправить это. [ 22 ]
Windows PE
[ редактировать ]Для большинства предприятий, развертывающих и развертывающих операционные системы удаленно, стоит отметить, что Windows PE не имеет встроенной поддержки 802.1X. Однако в WinPE 2.1 можно добавить поддержку. [ 23 ] и WinPE 3.0 [ 24 ] с помощью исправлений, доступных от Microsoft. Хотя полная документация еще не доступна, предварительную документацию по использованию этих исправлений можно найти в блоге Microsoft. [ 25 ]
Линукс
[ редактировать ]Большинство дистрибутивов Linux поддерживают 802.1X через wpa_supplicant и интеграцию с рабочим столом, например NetworkManager .
устройства Apple
[ редактировать ]Начиная с iOS 17 и macOS 14 , устройства Apple поддерживают подключение к сетям 802.1X с использованием EAP-TLS с TLS 1.3 (EAP-TLS 1.3). Кроме того, устройства под управлением iOS/iPadOS/tvOS 17 или более поздней версии поддерживают проводные сети 802.1X. [ 26 ] [ 27 ]
Федерации
[ редактировать ]eduroam (служба международного роуминга) требует использования аутентификации 802.1X при предоставлении доступа к сети гостям, посещающим другие учреждения, поддерживающие eduroam. [ 28 ]
BT (British Telecom, PLC) использует Identity Federation для аутентификации в услугах, предоставляемых широкому кругу отраслей и правительств. [ 29 ]
Собственные расширения
[ редактировать ]MAB (обход аутентификации MAC)
[ редактировать ]Не все устройства поддерживают аутентификацию 802.1X. Примеры включают сетевые принтеры, электронику на базе Ethernet, например датчики окружающей среды, камеры и беспроводные телефоны. Для использования этих устройств в защищенной сетевой среде необходимо предоставить альтернативные механизмы их аутентификации.
Одним из вариантов было бы отключить 802.1X на этом порту, но в результате этот порт останется незащищенным и открытым для злоупотреблений. Другой, немного более надежный вариант — использовать опцию MAB. Когда MAB настроен на порту, этот порт сначала попытается проверить, совместимо ли подключенное устройство со стандартом 802.1X, и если от подключенного устройства не будет получено никакой реакции, он попытается пройти аутентификацию на сервере AAA, используя MAC-адрес подключенного устройства. как имя пользователя и пароль. Затем сетевой администратор должен обеспечить на сервере RADIUS возможность аутентификации этих MAC-адресов, либо добавляя их в качестве обычных пользователей, либо реализуя дополнительную логику для их разрешения в базе данных инвентаризации сети.
Многие управляемые коммутаторы Ethernet [ 30 ] предложите варианты для этого.
Уязвимости в 802.1X-2001 и 802.1X-2004
[ редактировать ]Общие медиа
[ редактировать ]Летом 2005 года Стив Райли из Microsoft опубликовал статью (основанную на оригинальном исследовании Microsoft MVP Святослава Пидгорного) с подробным описанием серьезной уязвимости в протоколе 802.1X, в которой участвует человек в середине атаки . Подводя итог, можно сказать, что недостаток связан с тем, что 802.1X аутентифицируется только в начале соединения, но после этой аутентификации злоумышленник может использовать аутентифицированный порт, если у него есть возможность физически вставить себя (возможно, с помощью рабочей группы). концентратор) между аутентифицированным компьютером и портом. Райли предполагает, что для проводных сетей более безопасным будет использование IPsec или комбинации IPsec и 802.1X. [ 31 ]
Кадры EAPOL-Logoff, передаваемые соискателем 802.1X, отправляются в открытом виде и не содержат данных, полученных в результате обмена учетными данными, который первоначально аутентифицировал клиента. [ 32 ] Поэтому их легко подделать на общих носителях, и их можно использовать как часть целевого DoS как в проводных, так и в беспроводных локальных сетях. При атаке EAPOL-Logoff злонамеренная третья сторона, имеющая доступ к среде, к которой подключен аутентификатор, неоднократно отправляет поддельные кадры EAPOL-Logoff с MAC-адреса целевого устройства. Аутентификатор (полагая, что целевое устройство желает завершить сеанс аутентификации) закрывает сеанс аутентификации цели, блокируя входящий трафик от цели и запрещая ей доступ к сети.
Спецификация 802.1X-2010, которая началась как 802.1af, устраняет уязвимости в предыдущих спецификациях 802.1X, используя MACsec IEEE 802.1AE для шифрования данных между логическими портами (работающими поверх физического порта) и IEEE 802.1AR (Secure Device Identity) . / DevID) аутентифицированные устройства. [ 8 ] [ 9 ] [ 33 ] [ 34 ]
В качестве временной меры, пока эти усовершенствования не будут широко реализованы, некоторые поставщики расширили протоколы 802.1X-2001 и 802.1X-2004, позволяя проводить несколько одновременных сеансов аутентификации на одном порту. Хотя это предотвращает попадание трафика от устройств с неаутентифицированными MAC-адресами на аутентифицированный порт 802.1X, это не остановит вредоносное устройство, отслеживающее трафик от аутентифицированного устройства, и не обеспечивает защиты от подмены MAC или атак EAPOL-Logoff.
Альтернативы
[ редактировать ], Альтернативой , поддерживаемой IETF является протокол аутентификации для доступа к сети (PANA), который также поддерживает EAP, хотя он работает на уровне 3, используя UDP, поэтому не привязан к инфраструктуре 802. [ 35 ]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ «Дополнения к аппаратному обеспечению, техника Т1200» . Attack.mitre.org . 18 апреля 2018 г. Проверено 10 апреля 2024 г.
- ^ Зеттер, Ким. «Взлом большой коробки: внутренняя история хакерской атаки Wal-Mart» . Проводной . ISSN 1059-1028 . Проверено 7 февраля 2024 г.
- ^ «Использование EAP в IEEE 802» . Расширяемый протокол аутентификации (EAP) . сек. 3.3. дои : 10.17487/RFC3748 . РФК 3748 .
- ^ «Связной уровень» . Расширяемый протокол аутентификации (EAP) . сек. 7.12. дои : 10.17487/RFC3748 . РФК 3748 .
- ^ IEEE 802.1X-2001, § 7.
- ^ IEEE 802.1X-2001, § 7.1 и 7.2.
- ^ IEEE 802.1X-2004, § 7.6.4.
- ^ Перейти обратно: а б IEEE 802.1X-2010, стр. iv
- ^ Перейти обратно: а б IEEE 802.1X-2010, § 5
- ^ «Концепции аутентификации на основе портов 802.1X» . Архивировано из оригинала 14 октября 2012 г. Проверено 30 июля 2008 г.
- ^ «eap_testing.txt от wpa_supplicant» . Проверено 10 февраля 2010 г.
- ^ Шет, Раджен (10 августа 2011 г.). «Компьютер, который становится лучше» . Официальный блог Google Cloud . Проверено 2 июля 2022 г.
- ^ Негрино, Том; Смит, Дори (2003). Mac OS X Unwired: Руководство для дома, офиса и в дороге . О'Рейли Медиа . п. 19. ISBN 978-0596005085 . Проверено 2 июля 2022 г.
- ^ «Доступны клиенты NAP для Linux и Macintosh» . Блог группы защиты доступа к сети (NAP) . 16 декабря 2008 г.
- ^ «20-минутная задержка при развертывании Windows 7 на 802.1x? Исправьте это здесь!» . Чувак, где мой PFE? блог . 24 января 2013 г.
- ^ «Компьютер под управлением Windows XP, Windows Vista или Windows Server 2008 не отвечает на запросы проверки подлинности 802.1X в течение 20 минут после неудачной проверки подлинности» . Поддержка Майкрософт . 17 сентября 2009 г. Проверено 3 июля 2022 г.
- ^ «EAPHost в Windows Vista и Longhorn (18 января 2006 г.)» . Документы Майкрософт . 18 января 2007 г. Проверено 3 июля 2022 г.
- ^ «У вас возникают проблемы при попытке получить объекты групповой политики, перемещаемые профили и сценарии входа в систему с контроллера домена под управлением Windows Server 2003» . Поддержка Майкрософт . 14 сентября 2007 г. Архивировано из оригинала 22 апреля 2008 г. Проверено 10 февраля 2010 г.
- ^ «802.1x с динамическим переключением VLAN — Проблемы с перемещаемыми профилями» . Форумы Microsoft TechNet . Архивировано из оригинала 24 августа 2011 г. Проверено 10 февраля 2010 г.
В Vista это вообще не проблема с функцией единого входа, однако эта функция не существует в XP, и, к сожалению, у нас нет планов по переносу этой функции в XP, поскольку это слишком сложное изменение.
- ^ «Клиентский компьютер под управлением Windows XP с пакетом обновления 3 не может использовать проверку подлинности IEEE 802.1X при использовании PEAP с PEAP-MSCHAPv2 в домене» . Поддержка Майкрософт . 23 апреля 2009 г. Архивировано из оригинала 16 марта 2010 г. Проверено 23 марта 2010 г.
- ^ Перейти обратно: а б «Компьютер, подключенный к сети с проверкой подлинности IEEE 802.1X через телефон VOIP, не подключается к правильной сети после выхода из режима гибернации или спящего режима» . Поддержка Майкрософт . 08 февраля 2010 г. Проверено 3 июля 2022 г.
- ^ «Нет ответа на запросы аутентификации 802.1X после сбоя аутентификации на компьютере под управлением Windows 7 или Windows Server 2008 R2» . Поддержка Майкрософт . 08 марта 2010 г. Архивировано из оригинала 14 ноября 2010 г. Проверено 23 марта 2010 г.
- ^ «Windows PE 2.1 не поддерживает протокол аутентификации IEEE 802.1X» . Поддержка Майкрософт . 08.12.2009. Архивировано из оригинала 5 марта 2010 г. Проверено 10 февраля 2010 г.
- ^ «Протокол аутентификации IEEE 802.1X не поддерживается в среде предустановки Windows (PE) 3.0» . Поддержка Майкрософт . 08.12.2009 . Проверено 3 июля 2022 г.
- ^ «Добавление поддержки 802.1X в WinPE» . Блог Deployment Guys . 2 марта 2010 г. Архивировано из оригинала 17 июня 2011 г. Проверено 3 марта 2010 г.
- ^ «Примечания к выпуску для разработчиков iOS 17 beta 4» . Разработчик Apple . 25 июля 2023 г. Проверено 25 июля 2023 г.
- ^ «Примечания к выпуску для разработчиков macOS 14 beta 4» . Разработчик Apple . 25 июля 2023 г. Проверено 25 июля 2023 г.
- ^ «Как работает эдуроам?» . эдуроам . Проверено 3 июля 2022 г.
- ^ «Управление идентификацией и доступом BT» (PDF) . Архивировано из оригинала (PDF) 13 июня 2011 г. Проверено 17 августа 2010 г.
- ^ «Руководство по интерфейсу командной строки Dell PowerConnect серии 6200» (PDF) . п. 622, Редакция: A06, март 2011 г. Архивировано из оригинала (PDF) 18 ноября 2012 г. Проверено 26 января 2013 г.
- ^ Райли, Стив (9 августа 2005 г.). «Снижение угроз со стороны мошеннических машин — 802.1X или IPsec?» . Документы Майкрософт . Проверено 3 июля 2022 г.
- ^ IEEE 802.1X-2001, § 7.1.
- ^ «Утверждение досрочного рассмотрения, 2 февраля 2010 г.» . ИИЭЭ . Архивировано из оригинала 6 июля 2010 г. Проверено 10 февраля 2010 г.
- ^ «IEEE 802.1:802.1X-2010 — Версия 802.1X-2004» . Ieee802.org. 21 января 2010 г. Архивировано из оригинала 4 марта 2010 г. Проверено 10 февраля 2010 г.
- ^ Филип Голден; Эрве Дедье; Криста С. Якобсен (2007). Внедрение и применение технологии DSL . Тейлор и Фрэнсис. стр. 483–484. ISBN 978-1-4200-1307-8 .
Внешние ссылки
[ редактировать ]- Страница IEEE о 802.1X
- GetIEEE802 Скачать 802.1X-2020
- GetIEEE802 Скачать 802.1X-2010 [ мертвая ссылка ]
- ПолучитьIEEE802 Скачать 802.1X-2004 [ мертвая ссылка ]
- ПолучитьIEEE802 Скачать 802.1X-2001 [ мертвая ссылка ]
- Полное руководство по безопасности беспроводной сети: Самозаверяющие сертификаты для вашего RADIUS-сервера
- ПРОВОД1x
- Проводная сеть с аутентификацией 802.1X на Microsoft TechNet