IEEE 802.1X

IEEE 802.1X es un estándar IEEE para el control de acceso a la red (PNAC) basado en puertos . Es parte del grupo de protocolos de red IEEE 802.1 . Proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN .

IEEE 802.1X define la encapsulación del Protocolo de autenticación extensible (EAP) sobre IEEE 802.11 , ^[1]^[2] que se conoce como "EAP sobre LAN" o EAPOL. ^[3] EAPOL se diseñó originalmente para IEEE 802.3 Ethernet en 802.1X-2001, pero se aclaró para adaptarse a otras tecnologías LAN IEEE 802, como la interfaz de datos distribuida de fibra e inalámbrica IEEE 802.11 (ANSI X3T9.5 / X3T12 e ISO 9314) en 802.1 X-2004. ^[4] La EAPOL también se modificó para su uso con IEEE 802.1AE ("MACsec") e IEEE 802.1AR (Identidad de dispositivo seguro, DevID) en 802.1X-2010 ^[5]^[6] para admitir la identificación del servicio y el cifrado opcional punto a punto en el segmento de LAN interno.

Visión general

Los datos EAP se encapsulan primero en tramas EAPOL entre el solicitante y el autenticador, luego se vuelven a encapsular entre el autenticador y el servidor de autenticación mediante RADIUS o Diameter .

La autenticación 802.1X involucra a tres partes: un solicitante, un autenticador y un servidor de autenticación. El solicitante es un dispositivo cliente (como una computadora portátil) que desea conectarse a la LAN / WLAN. El término 'suplicante' también se usa indistintamente para referirse al software que se ejecuta en el cliente y que proporciona credenciales al autenticador. El autenticador es un dispositivo de red que proporciona un enlace de datos entre el cliente y la red y puede permitir o bloquear el tráfico de red entre los dos, como un conmutador Ethernet o un punto de acceso inalámbrico ; y el servidor de autenticaciónes típicamente un servidor confiable que puede recibir y responder a solicitudes de acceso a la red, y puede decirle al autenticador si la conexión debe ser permitida y varias configuraciones que deben aplicarse a la conexión o configuración de ese cliente. Los servidores de autenticación suelen ejecutar software compatible con los protocolos RADIUS y EAP . En algunos casos, el software del servidor de autenticación puede estar ejecutándose en el hardware del autenticador.

El autenticador actúa como un guardia de seguridad para una red protegida. Al solicitante (es decir, dispositivo cliente) no se le permite el acceso a través del autenticador al lado protegido de la red hasta que la identidad del solicitante haya sido validada y autorizada. Con la autenticación basada en puerto 802.1X, el solicitante debe proporcionar inicialmente las credenciales requeridas al autenticador; estas habrán sido especificadas por adelantado por el administrador de red y podrían incluir un nombre de usuario / contraseña o un certificado digital permitido .. El autenticador reenvía estas credenciales al servidor de autenticación para decidir si se concede el acceso. Si el servidor de autenticación determina que las credenciales son válidas, informa al autenticador, que a su vez permite al solicitante (dispositivo cliente) acceder a los recursos ubicados en el lado protegido de la red. ^[7]

Operación de protocolo

EAPOL opera sobre la capa de enlace de datos , y en framing Ethernet II protocolo tiene una EtherType valor de 0x888E.

Entidades portuarias

802.1X-2001 define dos entidades de puerto lógico para un puerto autenticado: el "puerto controlado" y el "puerto no controlado". El puerto controlado es manipulado por 802.1X PAE (entidad de acceso al puerto) para permitir (en el estado autorizado) o prevenir (en el estado no autorizado) la entrada y salida del tráfico de red hacia / desde el puerto controlado. El puerto no controlado es utilizado por 802.1X PAE para transmitir y recibir tramas EAPOL.

802.1X-2004 define las entidades de puerto equivalentes para el solicitante; por lo tanto, un solicitante que implemente 802.1X-2004 puede evitar que se utilicen protocolos de nivel superior si no es contenido que la autenticación se haya completado con éxito. Esto es particularmente útil cuando se utiliza un método EAP que proporciona autenticación mutua , ya que el solicitante puede evitar la fuga de datos cuando se conecta a una red no autorizada.

Progresión típica de autenticación

El procedimiento de autenticación típico consiste en:

Diagrama de secuencia de la progresión 802.1X

Inicialización Al detectarse un nuevo solicitante, el puerto del conmutador (autenticador) se habilita y se establece en el estado "no autorizado". En este estado, solo se permite el tráfico 802.1X; otro tráfico, como el Protocolo de Internet (y con ese TCP y UDP ), se descarta.
Inicio Para iniciar la autenticación, el autenticador transmitirá periódicamente tramas de identidad de solicitud EAP a una dirección especial de Capa 2 (01: 80: C2: 00: 00: 03) en el segmento de la red local. El solicitante escucha en esta dirección y, al recibir el marco de identidad de solicitud de EAP, responde con un marco de identidad de respuesta de EAP que contiene un identificador para el solicitante, como una identificación de usuario. Luego, el autenticador encapsula esta respuesta de identidad en un paquete de solicitud de acceso RADIUS y la reenvía al servidor de autenticación. El solicitante también puede iniciar o reiniciar la autenticación enviando una trama EAPOL-Start al autenticador, que luego responderá con una trama EAP-Request Identity.
Negociación (técnicamente negociación EAP) El servidor de autenticación envía una respuesta (encapsulada en un paquete de desafío de acceso RADIUS) al autenticador, que contiene una solicitud EAP que especifica el método EAP (el tipo de autenticación basada en EAP que desea que realice el solicitante). El autenticador encapsula la solicitud EAP en una trama EAPOL y la transmite al solicitante. En este punto, el solicitante puede comenzar a usar el Método EAP solicitado, o hacer un NAK ("Reconocimiento negativo") y responder con los Métodos EAP que está dispuesto a realizar.
Autenticación Si el servidor de autenticación y el solicitante acuerdan un método EAP, las solicitudes y respuestas EAP se envían entre el solicitante y el servidor de autenticación (traducidas por el autenticador) hasta que el servidor de autenticación responde con un mensaje EAP-Success (encapsulado en un acceso RADIUS -Aceptar paquete), o un mensaje EAP-Failure (encapsulado en un paquete RADIUS Access-Reject). Si la autenticación tiene éxito, el autenticador establece el puerto en el estado "autorizado" y se permite el tráfico normal; si no tiene éxito, el puerto permanece en el estado "no autorizado". Cuando el solicitante cierra la sesión, envía un mensaje de cierre de sesión EAPOL al autenticador, el autenticador luego establece el puerto en el estado "no autorizado", una vez más bloqueando todo el tráfico que no es EAP.

Implementaciones

Un proyecto de código abierto conocido como Open1X produce un cliente, Xsupplicant . Este cliente está disponible actualmente tanto para Linux como para Windows. Los principales inconvenientes del cliente Open1X son que no proporciona una documentación de usuario completa y comprensible y el hecho de que la mayoría de los proveedores de Linux no proporcionan un paquete para él. El wpa_supplicant más general se puede utilizar para redes inalámbricas 802.11 y redes cableadas. Ambos admiten una amplia gama de tipos de EAP. ^[8]

El iPhone y el iPod Touch son compatibles con 802.1X a partir del lanzamiento de iOS 2.0. Android tiene soporte para 802.1X desde el lanzamiento de 1.6 Donut. Chrome OS es compatible con 802.1X desde mediados de 2011. ^[9]

Mac OS X ha ofrecido soporte nativo desde 10.3 . ^[10]

Avendaño Sistemas ofrece un suplicante para de Windows , Linux y Mac OS X . También tienen un complemento para el marco de Microsoft NAP . ^[11] Avenda también ofrece agentes de control de salud.

Ventanas

De forma predeterminada, Windows no responde a las solicitudes de autenticación 802.1X durante 20 minutos después de una autenticación fallida. Esto puede causar una interrupción significativa a los clientes.

El período de bloqueo se puede configurar usando el valor DWORD HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ dot3svc \ BlockTime ^[12] (HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ wlansvc \ BlockTime para redes inalámbricas) en el registro (ingresado en minutos). Se requiere una revisión para Windows XP SP3 y Windows Vista SP2 para que el período sea configurable. ^[13]

Los certificados de servidor comodín no son compatibles con EAPHost, el componente de Windows que proporciona compatibilidad con EAP en el sistema operativo. ^[14] La consecuencia de esto es que cuando se utiliza una autoridad de certificación comercial, se deben comprar certificados individuales.

Windows XP

Windows XP tiene problemas importantes con el manejo de los cambios de dirección IP que resultan de la autenticación 802.1X basada en el usuario que cambia la VLAN y, por lo tanto, la subred de los clientes. ^[15] Microsoft ha declarado que no respaldará la función SSO de Vista que resuelve estos problemas. ^[dieciséis]

Si los usuarios no inician sesión con perfiles móviles, se debe descargar e instalar una revisión si se autentican a través de PEAP con PEAP-MSCHAPv2. ^[17]

Windows Vista

Es posible que las computadoras con Windows Vista que están conectadas a través de un teléfono IP no se autentiquen como se esperaba y, como resultado, el cliente puede colocarse en la VLAN incorrecta. Hay una revisión disponible para corregir esto. ^[18]

Windows 7

Es posible que las computadoras basadas en Windows 7 que están conectadas a través de un teléfono IP no se autentiquen como se esperaba y, como resultado, el cliente puede colocarse en la VLAN incorrecta. Hay una revisión disponible para corregir esto. ^[18]

Windows 7 no responde a las solicitudes de autenticación 802.1X después de que falla la autenticación 802.1X inicial. Esto puede causar una interrupción significativa a los clientes. Hay una revisión disponible para corregir esto. ^[19]

Windows PE

Para la mayoría de las empresas que implementan y despliegan sistemas operativos de forma remota, vale la pena señalar que Windows PE no tiene soporte nativo para 802.1X. Sin embargo, se puede agregar soporte a WinPE 2.1 ^[20] y WinPE 3.0 ^{[21] a} través de revisiones que están disponibles en Microsoft. Aunque la documentación completa aún no está disponible, la documentación preliminar para el uso de estas revisiones está disponible a través de un blog de Microsoft. ^[22]

OS X Mojave ^[23]

Linux

La mayoría de las distribuciones de Linux admiten 802.1X a través de wpa_supplicant y la integración de escritorio como NetworkManager .

Federaciones

eduroam (el servicio de roaming internacional) exige el uso de la autenticación 802.1X al proporcionar acceso a la red a los huéspedes que visitan desde otras instituciones habilitadas para eduroam. ^[24]

BT (British Telecom, PLC) emplea Identity Federation para la autenticación en los servicios prestados a una amplia variedad de industrias y gobiernos. ^[25]

Extensiones propietarias

MAB (omisión de autenticación MAC)

No todos los dispositivos admiten la autenticación 802.1X. Los ejemplos incluyen impresoras de red, dispositivos electrónicos basados en Ethernet como sensores ambientales, cámaras y teléfonos inalámbricos. Para que esos dispositivos se utilicen en un entorno de red protegido, se deben proporcionar mecanismos alternativos para autenticarlos.

Una opción sería deshabilitar 802.1X en ese puerto, pero eso deja ese puerto desprotegido y abierto al abuso. Otra opción un poco más confiable es usar la opción MAB. Cuando MAB está configurado en un puerto, ese puerto primero intentará verificar si el dispositivo conectado es compatible con 802.1X, y si no se recibe ninguna reacción del dispositivo conectado, intentará autenticarse con el servidor AAA utilizando la dirección MAC del dispositivo conectado. como nombre de usuario y contraseña. Luego, el administrador de la red debe tomar medidas en el servidor RADIUS para autenticar esas direcciones MAC, ya sea agregándolas como usuarios regulares o implementando lógica adicional para resolverlas en una base de datos de inventario de red.

Muchos conmutadores Ethernet administrados ^[26]^[27] ofrecen opciones para esto.

Vulnerabilidades en 802.1X-2001 y 802.1X-2004

Medios compartidos

En el verano de 2005, Steve Riley de Microsoft publicó un artículo que detallaba una seria vulnerabilidad en el protocolo 802.1X, que involucraba a un hombre en el medio del ataque . En resumen, la falla se debe al hecho de que 802.1X se autentica solo al comienzo de la conexión, pero después de esa autenticación, es posible que un atacante use el puerto autenticado si tiene la capacidad de insertarse físicamente (tal vez usando un grupo de trabajo). hub) entre la computadora autenticada y el puerto. Riley sugiere que para las redes cableadas, el uso de IPsec o una combinación de IPsec y 802.1X sería más seguro. ^[28]

Las tramas EAPOL-Logoff transmitidas por el suplicante 802.1X se envían sin cifrar y no contienen datos derivados del intercambio de credenciales que autenticó inicialmente al cliente. ^[29] Por lo tanto, son trivialmente fáciles de falsificar en medios compartidos y se pueden utilizar como parte de un DoS dirigido tanto en redes LAN inalámbricas como por cable. En un ataque EAPOL-Logoff, un tercero malintencionado, con acceso al medio al que está conectado el autenticador, envía repetidamente tramas EAPOL-Logoff falsificadas desde la dirección MAC del dispositivo de destino. El autenticador (creyendo que el dispositivo objetivo desea finalizar su sesión de autenticación) cierra la sesión de autenticación del objetivo, bloqueando el tráfico que ingresa desde el objetivo y negándole el acceso a la red.

La especificación 802.1X-2010, que comenzó como 802.1af, aborda las vulnerabilidades de las especificaciones 802.1X anteriores mediante el uso de MACSec IEEE 802.1AE para cifrar datos entre puertos lógicos (que se ejecutan en la parte superior de un puerto físico) e IEEE 802.1AR (Identidad de dispositivo seguro). / DevID) dispositivos autenticados. ^[5]^[6]^[30]^[31]

Como medida provisional, hasta que estas mejoras se implementen ampliamente, algunos proveedores han extendido los protocolos 802.1X-2001 y 802.1X-2004, lo que permite que se produzcan varias sesiones de autenticación simultáneas en un solo puerto. Si bien esto evita que el tráfico de dispositivos con direcciones MAC no autenticadas ingrese en un puerto autenticado 802.1X, no detendrá un dispositivo malicioso que espíe el tráfico de un dispositivo autenticado y no brinda protección contra la suplantación de MAC o ataques de cierre de sesión EAPOL.

Alternativas

La alternativa respaldada por IETF es el Protocolo para llevar autenticación para acceso a la red (PANA), que también lleva EAP, aunque funciona en la capa 3, utilizando UDP, por lo que no está vinculado a la infraestructura 802. ^[32]

Ver también

AEGIS SecureConnect
IEEE 802.11i-2004

Referencias

^ RFC 3748 , § 3.3
^ RFC 3748 , sección 7.12
^ IEEE 802.1X-2001, § 7
^ IEEE 802.1X-2004, § 3.2.2
^ a b IEEE 802.1X-2010, página iv
^ a b IEEE 802.1X-2010, § 5
^ "Conceptos de autenticación basada en puertos 802.1X" . Consultado el 30 de julio de 2008 .
^ "eap_testing.txt de wpa_supplicant" . Consultado el 10 de febrero de 2010 .
^ "La computadora que sigue mejorando" . Consultado el 27 de noviembre de 2013 .
^ "Apple - iPhone - Enterprise" . Consultado el 31 de julio de 2008 .
^ "Los clientes NAP para Linux y Macintosh están disponibles" . 2008-12-16.
^ "20 minutos de retraso en la implementación de Windows 7 en 802.1x" .
^ "Un equipo basado en Windows XP, Windows Vista o Windows Server 2008 no responde a las solicitudes de autenticación 802.1X durante 20 minutos después de una autenticación fallida" . Support.microsoft.com. 2009-09-17 . Consultado el 23 de marzo de 2010 .
^ "EAPHost en Windows Vista y Longhorn (18 de enero de 2006)" . Technet.microsoft.com. 2007-01-18 . Consultado el 24 de marzo de 2010 .
^ "Problemas al obtener objetos de directiva de grupo, perfiles móviles y scripts de inicio de sesión de un controlador de dominio basado en Windows Server 2003" . Support.microsoft.com. 2007-09-14 . Consultado el 10 de febrero de 2010 .
^ "802.1X con conmutación de VLAN dinámica - Problemas con perfiles de itinerancia" . Forums.technet.microsoft.com . Consultado el 10 de febrero de 2010 .
^ "Una computadora cliente basada en Windows XP Service Pack 3 no puede usar la autenticación IEEE 802.1X cuando usa PEAP con PEAP-MSCHAPv2 en un dominio" . Support.microsoft.com. 2009-04-23 . Consultado el 23 de marzo de 2010 .
^ a b "Una computadora que está conectada a una red autenticada IEEE 802.1X a través de un teléfono VOIP no se conecta a la red correcta después de reanudarla desde el modo Hibernar o el modo Suspender" . Support.microsoft.com. 2010-02-08 . Consultado el 23 de marzo de 2010 .
^ "Windows 7 o Windows Server 2008 R2 no responde a las solicitudes de autenticación 802.1X después de que falla la autenticación" . Support.microsoft.com. 2010-03-08 . Consultado el 23 de marzo de 2010 .
^ "Windows PE 2.1 no es compatible con el protocolo de autenticación IEEE 802.1X" . Support.microsoft.com. 2009-12-08 . Consultado el 10 de febrero de 2010 .
^ "El protocolo de autenticación IEEE 802.1X no es compatible con el entorno de preinstalación de Windows (PE) 3.0" . Support.microsoft.com. 2009-12-08 . Consultado el 10 de febrero de 2010 .
^ "Adición de soporte para 802.1X a WinPE" . Blogs.technet.com. 2010-03-02 . Consultado el 3 de marzo de 2010 .
^ "Conectarse a una red 802.1X en Mac" . support.apple.com . Consultado el 2 de diciembre de 2019 .
^ "Eduroam - Acerca de" . Consultado el 29 de noviembre de 2009 .
^ "Gestión de acceso e identidad de BT" (PDF) . Consultado el 17 de agosto de 2010 .
^ "Guía de implementación de omisión de autenticación MAC" . Mayo de 2011 . Consultado el 26 de enero de 2012 .
^ "Guía de la CLI de la serie Dell PowerConnect 6200" (PDF) . pag. 622, revisión: A06-marzo de 2011. Archivado desde el original (PDF) el 18 de noviembre de 2012 . Consultado el 26 de enero de 2013 .
^ "Artículo de Steve Riley sobre las vulnerabilidades de 802.1X" . Microsoft.com. 2005-08-09 . Consultado el 16 de enero de 2018 .
^ IEEE 802.1X-2001, § 7.1
^ "Aprobaciones de consideración anticipada del 2 de febrero de 2010" . Standards.ieee.org . Consultado el 10 de febrero de 2010 .
^ "IEEE 802.1: 802.1X-2010 - Revisión de 802.1X-2004" . Ieee802.org. 2010-01-21 . Consultado el 10 de febrero de 2010 .
^ Philip Golden; Hervé Dedieu; Krista S. Jacobsen (2007). Implementación y Aplicaciones de Tecnología DSL . Taylor y Francis. págs. 483–484. ISBN 978-1-4200-1307-8.

enlaces externos

Página IEEE en 802.1X
GetIEEE802 Descargar 802.1X-2016
GetIEEE802 Descargar 802.1X-2010
GetIEEE802 Descargar 802.1X-2004
GetIEEE802 Descargar 802.1X-2001
La guía de seguridad inalámbrica definitiva: certificados autofirmados para su servidor RADIUS
ALAMBRE 1x
Redes cableadas con autenticación 802.1X en Microsoft TechNet

[1] RFC 3748 , § 3.3

[2] RFC 3748 , sección 7.12

[3] IEEE 802.1X-2001, § 7

[4] IEEE 802.1X-2004, § 3.2.2

[802.1X-2010_seciv-5] IEEE 802.1X-2010, página iv

[802.1X-2010_sec5-6] IEEE 802.1X-2010, § 5

[7] "Conceptos de autenticación basada en puertos 802.1X" . Consultado el 30 de julio de 2008 .

[8] "eap_testing.txt de wpa_supplicant" . Consultado el 10 de febrero de 2010 .

[9] "La computadora que sigue mejorando" . Consultado el 27 de noviembre de 2013 .

[10] "Apple - iPhone - Enterprise" . Consultado el 31 de julio de 2008 .

[11] "Los clientes NAP para Linux y Macintosh están disponibles" . 2008-12-16.

[12] "20 minutos de retraso en la implementación de Windows 7 en 802.1x" .

[13] "Un equipo basado en Windows XP, Windows Vista o Windows Server 2008 no responde a las solicitudes de autenticación 802.1X durante 20 minutos después de una autenticación fallida" . Support.microsoft.com. 2009-09-17 . Consultado el 23 de marzo de 2010 .

[14] "EAPHost en Windows Vista y Longhorn (18 de enero de 2006)" . Technet.microsoft.com. 2007-01-18 . Consultado el 24 de marzo de 2010 .

[15] "Problemas al obtener objetos de directiva de grupo, perfiles móviles y scripts de inicio de sesión de un controlador de dominio basado en Windows Server 2003" . Support.microsoft.com. 2007-09-14 . Consultado el 10 de febrero de 2010 .

[16] "802.1X con conmutación de VLAN dinámica - Problemas con perfiles de itinerancia" . Forums.technet.microsoft.com . Consultado el 10 de febrero de 2010 .

[17] "Una computadora cliente basada en Windows XP Service Pack 3 no puede usar la autenticación IEEE 802.1X cuando usa PEAP con PEAP-MSCHAPv2 en un dominio" . Support.microsoft.com. 2009-04-23 . Consultado el 23 de marzo de 2010 .

[Support.microsoft.com-18] "Una computadora que está conectada a una red autenticada IEEE 802.1X a través de un teléfono VOIP no se conecta a la red correcta después de reanudarla desde el modo Hibernar o el modo Suspender" . Support.microsoft.com. 2010-02-08 . Consultado el 23 de marzo de 2010 .

[19] "Windows 7 o Windows Server 2008 R2 no responde a las solicitudes de autenticación 802.1X después de que falla la autenticación" . Support.microsoft.com. 2010-03-08 . Consultado el 23 de marzo de 2010 .

[20] "Windows PE 2.1 no es compatible con el protocolo de autenticación IEEE 802.1X" . Support.microsoft.com. 2009-12-08 . Consultado el 10 de febrero de 2010 .

[21] "El protocolo de autenticación IEEE 802.1X no es compatible con el entorno de preinstalación de Windows (PE) 3.0" . Support.microsoft.com. 2009-12-08 . Consultado el 10 de febrero de 2010 .

[22] "Adición de soporte para 802.1X a WinPE" . Blogs.technet.com. 2010-03-02 . Consultado el 3 de marzo de 2010 .

[23] "Conectarse a una red 802.1X en Mac" . support.apple.com . Consultado el 2 de diciembre de 2019 .

[24] "Eduroam - Acerca de" . Consultado el 29 de noviembre de 2009 .

[25] "Gestión de acceso e identidad de BT" (PDF) . Consultado el 17 de agosto de 2010 .

[26] "Guía de implementación de omisión de autenticación MAC" . Mayo de 2011 . Consultado el 26 de enero de 2012 .

[27] "Guía de la CLI de la serie Dell PowerConnect 6200" (PDF) . pag. 622, revisión: A06-marzo de 2011. Archivado desde el original (PDF) el 18 de noviembre de 2012 . Consultado el 26 de enero de 2013 .

[28] "Artículo de Steve Riley sobre las vulnerabilidades de 802.1X" . Microsoft.com. 2005-08-09 . Consultado el 16 de enero de 2018 .

[29] IEEE 802.1X-2001, § 7.1

[30] "Aprobaciones de consideración anticipada del 2 de febrero de 2010" . Standards.ieee.org . Consultado el 10 de febrero de 2010 .

[31] "IEEE 802.1: 802.1X-2010 - Revisión de 802.1X-2004" . Ieee802.org. 2010-01-21 . Consultado el 10 de febrero de 2010 .

[GoldenDedieu2007-32] Philip Golden; Hervé Dedieu; Krista S. Jacobsen (2007). Implementación y Aplicaciones de Tecnología DSL . Taylor y Francis. págs. 483–484. ISBN 978-1-4200-1307-8.

[1]