802.1X: Co DOKŁADNIE dotyczy WPA i EAP?

19

Rozumiem 802.1X jako pewnego rodzaju kontrolę uwierzytelniania portów. Jednak kiedy sprawdzałem ustawienia szyfrowania dla mojej sieci bezprzewodowej, znalazłem listę rozwijaną 802.1X wraz z WPA2, WPA i WEP, ale nie widzę, jak może to być alternatywa dla nich.

Czy ktoś mógłby wyjaśnić laikowi, w jaki sposób pasuje 802.1X, być może również w odniesieniu do protokołu EAP? Wiem tylko, że 802.1X zapewnia dwa logiczne jednostki portów dla każdego portu fizycznego, jeden z nich służy do uwierzytelnienia, a drugi jest przeznaczony do przesyłania komunikatów EAP?

Jason
źródło

Odpowiedzi:

38

Najbliżej mogę zrobić warunki laika, nieco uproszczone i ograniczone tylko do WPA2 dla uproszczenia:

802.1X NIE jest typem szyfrowania. Jest to w zasadzie tylko mechanizm uwierzytelniania na użytkownika (np. Nazwę użytkownika i hasło).

WPA2 to schemat bezpieczeństwa, który określa dwa główne aspekty bezpieczeństwa sieci bezprzewodowej:

  • Uwierzytelnianie: Twój wybór PSK („Personal”) lub 802.1X („Enterprise”).
  • Szyfrowanie: Zawsze AES-CCMP.

Jeśli korzystasz z zabezpieczeń WPA2 w swojej sieci, masz dwie możliwości uwierzytelnienia: albo musisz użyć jednego hasła do całej sieci, którą wszyscy znają (nazywa się to kluczem wstępnym lub PSK), albo używasz 802.1X aby zmusić każdego użytkownika do używania własnych unikalnych danych logowania (np. nazwy użytkownika i hasła).

Niezależnie od tego, jakiego typu uwierzytelniania skonfigurowałeś w swojej sieci, WPA2 zawsze używa schematu o nazwie AES-CCMP do szyfrowania danych drogą radiową w celu zachowania poufności i udaremnienia różnego rodzaju ataków.

802.1X to „EAP przez LAN” lub EAPoL. EAP oznacza „Extensible Authentication Protocol”, co oznacza, że ​​jest to rodzaj wtyczki do różnych metod uwierzytelniania. Kilka przykładów:

  • Czy chcesz uwierzytelnić użytkowników przy użyciu nazw użytkowników i haseł? Zatem „PEAP” jest dobrym typem EAP do użycia.
  • Czy chcesz uwierzytelnić użytkowników za pomocą certyfikatów? Zatem „EAP-TLS” jest dobrym typem EAP do użycia.
  • Czy urządzenia w Twojej sieci to wszystkie smartfony GSM z kartami SIM? Następnie możesz użyć „EAP-SIM”, aby wykonać uwierzytelnianie w stylu karty SIM GSM, aby uzyskać dostęp do sieci. itd itd.

Jeśli skonfigurujesz router bezprzewodowy do korzystania ze standardu 802.1X, musi on mieć sposób na uwierzytelnienie użytkowników za pomocą pewnego rodzaju protokołu EAP. Niektóre routery mogą mieć możliwość wprowadzenia listy nazw użytkowników i haseł bezpośrednio na routerze, a router wie, jak wykonać całe uwierzytelnianie samodzielnie. Ale większość będzie prawdopodobnie wymagać skonfigurowania RADIUS. RADIUS to protokół, który pozwala przechowywać nazwę użytkownika i bazę danych haseł na centralnym serwerze, dzięki czemu nie musisz wprowadzać zmian na każdym oddzielnym routerze bezprzewodowym za każdym razem, gdy dodajesz lub usuwasz użytkownika lub użytkownik zmienia swoje hasło lub coś. Routery bezprzewodowe, które obsługują standard 802.1X, na ogół nie wiedzą, jak uwierzytelniać użytkowników bezpośrednio, po prostu wiedzą, jak przechodzić między 802.1X a RADIUS, dzięki czemu maszyny klientów bezprzewodowych są w rzeczywistości uwierzytelniane przez serwer RADIUS w sieci,

Jeśli interfejs użytkownika routera bezprzewodowego ma na liście rodzajów szyfrowania „802.1X” , prawdopodobnie oznacza to „802.1X z dynamicznym WEP”, który jest starym schematem, w którym do uwierzytelniania używa się 802.1X i na użytkownika na sesję Klucze WEP są generowane dynamicznie jako część procesu uwierzytelniania, a zatem WEP jest ostatecznie zastosowaną metodą szyfrowania.

Zaktualizuj ponownie: dwa porty logiczne

Aby odpowiedzieć na pytanie dotyczące dwóch logicznych jednostek portów, w specyfikacji 802.1X istnieją dwie oddzielne koncepcje, do których możesz się odnosić.

Po pierwsze, specyfikacja 802.1X definiuje role klienta i serwera dla protokołu 802.1X, ale nazywa je odpowiednio Dostawcą i Authenticatorem. W kliencie bezprzewodowym lub routerze bezprzewodowym masz oprogramowanie, które pełni rolę dostawcy lub autoryzatora 802.1X. To oprogramowanie, które pełni tę rolę, nazywa się Port Access Entity lub PAE według specyfikacji.

Po drugie, wzmianki o tym, że na przykład na komputerze klienta bezprzewodowego oprogramowanie dostarczające 802.1X musi mieć sposób na dostęp do interfejsu bezprzewodowego w celu wysyłania i odbierania pakietów EAP w celu przeprowadzenia uwierzytelnienia, nawet jeśli żadne inne oprogramowanie sieciowe nie jest włączone Twój system może jeszcze używać interfejsu bezprzewodowego (ponieważ interfejs sieciowy nie jest zaufany, dopóki nie zostanie uwierzytelniony). Tak więc w dziwnym, technicznym tłumaczeniu dokumentów specyfikacji IEEE, jest logiczny „niekontrolowany port”, do którego podłącza się oprogramowanie klienckie 802.1X, oraz „kontrolowany port”, do którego podłącza się reszta stosu sieciowego. Przy pierwszej próbie połączenia z siecią 802.1X włączany jest tylko niekontrolowany port, podczas gdy klient 802.1X robi swoje. Po uwierzytelnieniu połączenia (i, powiedzmy,

Długa odpowiedź, nie tyle w kategoriach laika:
IEEE 802.1X to sposób na uwierzytelnianie użytkownika lub urządzenia dla przewodowych lub bezprzewodowych sieci LAN Ethernet (i potencjalnie innych schematów sieciowych w rodzinie IEEE 802). Został pierwotnie zaprojektowany i wdrożony dla przewodowych sieci Ethernet, a później został przyjęty przez grupę roboczą IEEE 802.11 (bezprzewodowa sieć LAN), jako część dodatku bezpieczeństwa 802.11i do 802.11, aby służył jako metoda uwierzytelniania na użytkownika lub na urządzenie dla sieci 802.11.

Korzystając z uwierzytelniania 802.1X w sieci WPA lub WPA2, nadal używasz szyfrów poufności WPA lub WPA2 i algorytmów integralności wiadomości. Oznacza to, że w przypadku WPA nadal używasz TKIP jako szyfru poufności, a MIChael jako kontroli integralności wiadomości. W przypadku WPA2 używasz AES-CCMP, który jest zarówno szyfrem poufności, jak i sprawdzaniem integralności wiadomości.

Różnica w korzystaniu z 802.1X polega na tym, że nie używasz już klucza sieci wstępnego (PSK) dla całej sieci. Ponieważ nie używasz jednego PSK dla wszystkich urządzeń, ruch każdego urządzenia jest bezpieczniejszy. Dzięki PSK, jeśli znasz PSK i przechwytujesz uścisk dłoni, gdy urządzenie dołącza do sieci, możesz odszyfrować cały ruch tego urządzenia. Ale w przypadku 802.1X proces uwierzytelniania bezpiecznie generuje materiał klucza, który jest używany do utworzenia unikalnego klucza głównego pary (PMK) dla połączenia, więc jeden użytkownik nie może odszyfrować ruchu innego użytkownika.

802.1X jest oparty na protokole EAP, Extensible Authentication Protocol, który pierwotnie został opracowany dla PPP i jest nadal szeroko stosowany w rozwiązaniach VPN wykorzystujących PPP w zaszyfrowanym tunelu (LT2P-over-IPSec, PPTP itp.). W rzeczywistości 802.1X jest ogólnie określany jako „EAP przez LAN” lub „EAPoL”.

Protokół EAP zapewnia ogólny mechanizm transportu wiadomości uwierzytelniających (żądania uwierzytelnienia, wyzwania, odpowiedzi, powiadomienia o sukcesie itp.) Bez konieczności posiadania przez warstwę EAP szczegółów dotyczących konkretnej zastosowanej metody uwierzytelniania. Istnieje wiele różnych „typów EAP” (mechanizmy uwierzytelniania zaprojektowane do podłączenia do EAP) do przeprowadzania uwierzytelniania za pomocą nazwy użytkownika i hasła, certyfikatów, kart tokena i innych.

Ze względu na historię EAP z PPP i VPN, zawsze była łatwa w bramie do RADIUS. Z tego powodu jest typowe (ale nie jest to technicznie wymagane) dla AP 802.11, które obsługują 802.1X, aby zawierać klienta RADIUS. Dlatego AP zwykle nie znają niczyich nazw użytkowników ani haseł, ani nawet jak przetwarzać różne typy uwierzytelniania EAP, po prostu wiedzą, jak pobrać ogólny komunikat EAP z 802.1X, przekształcić go w komunikat RADIUS i przesłać go do serwera RADIUS . AP jest więc tylko kanałem uwierzytelnienia, a nie stroną tego procesu. Rzeczywistymi punktami końcowymi uwierzytelnienia są zazwyczaj klient bezprzewodowy i serwer RADIUS (lub niektóre serwery uwierzytelniania w górę, do których bramy serwera RADIUS).

Więcej historii, niż chciałeś wiedzieć: kiedy po raz pierwszy utworzono 802.11, jedyną obsługiwaną metodą uwierzytelniania była forma uwierzytelniania za pomocą klucza współużytkowanego przy użyciu 40- lub 104-bitowych kluczy WEP, a WEP było nieco ograniczone do 4 kluczy na sieć. Wszyscy użytkownicy lub urządzenia łączące się z siecią musieli znać jeden z 4 krótkich kluczy do sieci, aby móc się włączyć. W standardzie nie było możliwości uwierzytelnienia każdego użytkownika lub urządzenia osobno. Ponadto sposób, w jaki przeprowadzono uwierzytelnianie za pomocą klucza wspólnego, umożliwił łatwe ataki polegające na odgadywaniu klucza „offline oracle”.

Wielu dostawców sprzętu 802.11 klasy korporacyjnej zdało sobie sprawę, że uwierzytelnienie na użytkownika (tj. Nazwę użytkownika i hasło lub certyfikat użytkownika) lub na urządzenie (certyfikat maszyny) było konieczne, aby 802.11 odniosło sukces na rynku przedsiębiorstw. Mimo że 802.1X jeszcze się nie skończyło, Cisco wziął wersję roboczą 802.1X, ograniczył ją do jednego typu EAP (forma EAP-MSCHAPv2), zmusił go do generowania dynamicznych kluczy WEP na sesję i utworzył co nazywali „lekkim EAP” lub LEAP. Inni dostawcy robili podobne rzeczy, ale z dziwniejszymi nazwami, takimi jak „802.1X z dynamicznym WEP”.

Wi-Fi Alliance (z domu Wireless Ethernet Compatibility Alliance lub „WECA”) widział zasłużenie złego przedstawiciela WEP i widział fragmentację schematu bezpieczeństwa w branży, ale nie mógł się doczekać, aż grupa robocza IEEE 802.11 zakończy działanie adoptując 802.1X w 802.11i, więc Wi-Fi Alliance stworzył Wi-Fi Protected Access (WPA) w celu zdefiniowania interoperacyjnego standardu dla różnych dostawców do naprawy wad WEP jako szyfru poufności (tworzenie TKIP w celu zastąpienia go), wady w opartym na WEP uwierzytelnianiu klucza współdzielonego (tworzenie WPA-PSK w celu jego zastąpienia) oraz w celu zapewnienia sposobu użycia 802.1X do uwierzytelnienia na użytkownika lub na urządzenie.

Następnie grupa zadaniowa IEEE 802.11i zakończyła pracę, wybierając AES-CCMP jako szyfr poufności w przyszłości i przyjmując 802.1X, z pewnymi ograniczeniami w celu zapewnienia bezpieczeństwa w sieciach bezprzewodowych, dla uwierzytelnienia użytkownika i urządzenia dla 802.11 bezprzewodowe sieci LAN. Z kolei Wi-Fi Alliance utworzył WPA2, aby poświadczyć interoperacyjność między implementacjami 802.11i. (Wi-Fi Alliance jest tak naprawdę organizacją zajmującą się certyfikacją i marketingiem międzyoperatorskim i często woli, aby IEEE była prawdziwym organem zajmującym się standardami WLAN. Ale jeśli IEEE jest zbyt uwięziony i nie porusza się wystarczająco szybko dla branży, Wi- Fi Alliance wkracza i wykonuje prace przypominające ciała normalizacyjne przed IEEE, a następnie zwykle odsyła do powiązanego standardu IEEE, gdy pojawi się później).

Spiff
źródło
Hej, spiff, czy mógłbyś po prostu połączyć część, którą przeczytałem o 802.1x, tworząc dwa logiczne porty, z twoją laicką odpowiedzią? Dzięki
Jason
3
@Jason Dobra, zaktualizowano. Nawiasem mówiąc, 802.1X jest samodzielną specyfikacją (a nie dodatkiem do innej specyfikacji), więc w konwencjach nazewnictwa IEEE otrzymuje wielką literę. Więc to jest 802.1X, a nie 802.1x. Za każdym razem, gdy zobaczysz dokumentację lub artykuł, który popełni błąd, weź to za oznakę niechlujstwa i nieuwagi w szczegółach i pozwól, aby wpłynęło to na to, ile wiary w to włożyłeś.
Spiff
Tak więc WPA2 / Enterprise to szyfrowanie AES, a 802.1X to szyfrowanie WEP. Mimo że oba używają 802.1X do uwierzytelnienia. Bardzo dokładnie udokumentowane z pewną historią za tym wszystkim. Dziękuję @Spiff, chciałbym móc głosować dwa razy.
Brain2000
@ Brain2000. Ostrożnie, twoje uproszczone sformułowanie jest bardzo mylące. Może być prawdą, że niektóre punkty dostępowe mają nieprzyjemne interfejsy użytkownika, które myląco mówią po prostu „802.1X”, a tak naprawdę to „802.1X z dynamicznym WEP”. Ale 802.1X to rozszerzalny protokół uwierzytelniania dla sieci LAN, który nie jest specyficzny dla 802.11, a tym bardziej WEP.
Spiff
@Spiff Masz rację, to kiepski interfejs użytkownika, który pokazuje „WPA2 / Enterprise” i „802.1X” w tym samym menu. W końcu to jest temat tego całego pytania. Tak, myślę, że to, co napisałem, jest dokładnie tym, co chciałem napisać. To nie jest nadmierne uproszczenie. Jak to ująłeś, jest to gówniany interfejs użytkownika.
Brain2000