Войти
IEEE 802.1X - это стандарт IEEE для управления доступом к сети (PNAC) на основе портов. Он входит в группу сетевых протоколов IEEE 802.1. Он обеспечивает механизм аутентификации для устройств, которые хотят подключиться к LAN или WLAN.
IEEE 802.1X определяет инкапсуляцию протокола расширенной аутентификации (EAP) через IEEE 802.11, который известен как «EAP через LAN» или EAPOL. EAPOL был первоначально разработан для IEEE 802.3 Ethernet в 802.1X-2001, но был уточнен для соответствия другим технологиям IEEE 802 LAN, таким как беспроводной интерфейс IEEE 802.11 и интерфейс распределенных данных по оптоволокну (ANSI X3T9.5 / X3T12 и ISO 9314) в 802.1X-2004.. EAPOL также был модифицирован для использования с IEEE 802.1AE («MACsec») и IEEE 802.1AR (Secure Device Identity, DevID) в 802.1X-2010 для поддержки идентификации услуг и дополнительного двухточечного шифрования во внутреннем сегменте LAN.
Данные EAP сначала инкапсулируются в кадры EAPOL между запрашивающим устройством и аутентификатором, а затем повторно инкапсулируются между аутентификатором и сервером аутентификации с использованием RADIUS или Diameter. В аутентификации 802.1X участвуют три стороны: запрашивающая сторона, аутентификатор и сервер аутентификации. Проситель является клиентом устройство (например, ноутбук), который хочет присоединить к LAN / WLAN. Термин «запрашивающий» также используется взаимозаменяемо для обозначения программного обеспечения, работающего на клиенте, которое предоставляет учетные данные аутентификатору. Аутентификатор является сетевым устройством, которое обеспечивает канал передачи данных между клиентом и сетью и может разрешить или блокировать сетевой трафик между ними, таким как переключатель Ethernet или беспроводной точкой доступа ; и сервер аутентификации обычно является доверенным сервером, который может принимать запросы на доступ к сети и отвечать на них, а также может сообщать аутентификатору, следует ли разрешить соединение, а также различные параметры, которые должны применяться к подключению или настройке этого клиента. Серверы аутентификации обычно запускают программное обеспечение, поддерживающее протоколы RADIUS и EAP. В некоторых случаях программное обеспечение сервера аутентификации может работать на оборудовании аутентификатора.
Аутентификатор действует как охранник защищенной сети. Запрашивающему устройству (т. Е. Клиентскому устройству) не разрешается доступ через аутентификатор к защищенной стороне сети до тех пор, пока его личность не будет подтверждена и авторизована. При аутентификации на основе портов 802.1X запрашивающий должен изначально предоставить необходимые учетные данные аутентификатору - они будут заранее указаны администратором сети и могут включать имя пользователя / пароль или разрешенный цифровой сертификат. Аутентификатор пересылает эти учетные данные на сервер аутентификации, чтобы решить, следует ли предоставить доступ. Если сервер аутентификации определяет, что учетные данные действительны, он сообщает об этом аутентификатору, который, в свою очередь, позволяет запрашивающему (клиентскому устройству) получить доступ к ресурсам, расположенным на защищенной стороне сети.
EAPOL работает на уровне канала передачи данных, а в протоколе кадрирования Ethernet II имеет значение EtherType 0x888E.
802.1X-2001 определяет два логических объекта порта для аутентифицированного порта - «контролируемый порт» и «неуправляемый порт». Управляемым портом управляет 802.1X PAE (объект доступа к порту), чтобы разрешить (в авторизованном состоянии) или предотвратить (в неавторизованном состоянии) входящий и исходящий сетевой трафик в / из контролируемого порта. Неконтролируемый порт используется 802.1X PAE для передачи и приема кадров EAPOL.
802.1X-2004 определяет эквивалентные порты для запрашивающей стороны; таким образом, соискатель, реализующий 802.1X-2004, может предотвратить использование протоколов более высокого уровня, если это не содержание, аутентификация которого успешно завершена. Это особенно полезно, когда используется метод EAP, обеспечивающий взаимную аутентификацию, поскольку соискатель может предотвратить утечку данных при подключении к неавторизованной сети.
Типичная процедура аутентификации состоит из:
Диаграмма последовательности развития 802.1X Проект с открытым исходным кодом, известный как Open1X, создает клиента Xsupplicant. Этот клиент в настоящее время доступен как для Linux, так и для Windows. Основные недостатки клиента Open1X заключаются в том, что он не предоставляет понятной и обширной пользовательской документации, а также в том, что большинство поставщиков Linux не предоставляют для него пакет. Более общий wpa_supplicant может использоваться для беспроводных сетей 802.11 и проводных сетей. Оба поддерживают очень широкий спектр типов EAP.
IPhone и IPod Touch поддерживают 802.1X от выпуска прошивки 2.0. Android поддерживает 802.1X с момента выпуска 1.6 Donut. Chrome OS поддерживает 802.1X с середины 2011 года.
Mac OS X предлагает встроенную поддержку с 10.3.
Avenda Systems предоставляет проситель для ОС Windows, Linux и Mac OS X. У них также есть плагин для платформы Microsoft NAP. Avenda также предлагает агентов по проверке здоровья.
По умолчанию Windows не отвечает на запросы аутентификации 802.1X в течение 20 минут после неудачной аутентификации. Это может вызвать серьезные неудобства для клиентов.
Период блокировки можно настроить с помощью значения DWORD HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ dot3svc \ BlockTime (HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ wlansvc \ BlockTime для беспроводных сетей) в реестре (вводится в минутах). Для Windows XP SP3 и Windows Vista SP2 требуется исправление, чтобы сделать период настраиваемым.
Wildcard сертификаты серверов не поддерживается EAPHost, компонент Windows, который обеспечивает поддержку EAP в операционной системе. Следствием этого является то, что при использовании коммерческого центра сертификации необходимо приобретать индивидуальные сертификаты.
Windows XP имеет серьезные проблемы с обработкой изменений IP-адресов в результате пользовательской аутентификации 802.1X, которая изменяет VLAN и, следовательно, подсеть клиентов. Microsoft заявила, что не будет выполнять резервное копирование функции SSO из Vista, которая решает эти проблемы.
Если пользователи не входят в систему с перемещаемыми профилями, необходимо загрузить и установить исправление при аутентификации через PEAP с помощью PEAP-MSCHAPv2.
Компьютеры под управлением Windows Vista, подключенные через IP-телефон, могут не пройти аутентификацию должным образом, и в результате клиент может быть помещен в неправильную VLAN. Доступно исправление для исправления этого.
Компьютеры под управлением Windows 7, подключенные через IP-телефон, могут не пройти аутентификацию должным образом, и в результате клиент может быть помещен в неправильную VLAN. Доступно исправление для исправления этого.
Windows 7 не отвечает на запросы проверки подлинности 802.1X после сбоя первоначальной проверки подлинности 802.1X. Это может вызвать серьезные неудобства для клиентов. Доступно исправление для исправления этого.
Для большинства предприятий, развертывающих и развертывающих операционные системы удаленно, стоит отметить, что Windows PE не имеет встроенной поддержки 802.1X. Однако поддержка может быть добавлена к WinPE 2.1 и WinPE 3.0 с помощью исправлений, доступных от Microsoft. Хотя полная документация еще не доступна, предварительная документация по использованию этих исправлений доступна в блоге Microsoft.
Большинство дистрибутивов Linux поддерживают 802.1X через wpa_supplicant и интеграцию с рабочим столом, такую как NetworkManager.
eduroam (услуга международного роуминга) требует использования аутентификации 802.1X при предоставлении доступа к сети гостям, посещающим из других учреждений, поддерживающих eduroam.
BT (British Telecom, PLC) использует Identity Federation для аутентификации в услугах, предоставляемых широкому кругу отраслей и правительств.
Не все устройства поддерживают аутентификацию 802.1X. Примеры включают сетевые принтеры, электронику на базе Ethernet, такую как датчики окружающей среды, камеры и беспроводные телефоны. Для использования этих устройств в защищенной сетевой среде должны быть предусмотрены альтернативные механизмы их аутентификации.
Один из вариантов - отключить 802.1X на этом порте, но это оставляет этот порт незащищенным и открытым для злоупотреблений. Другой, немного более надежный вариант - использовать вариант МАБ. Когда MAB настроен на порту, этот порт сначала попытается проверить, совместимо ли подключенное устройство с 802.1X, и, если от подключенного устройства не будет получено никакой реакции, он попытается аутентифицироваться на сервере AAA, используя MAC-адрес подключенного устройства. как имя пользователя и пароль. Затем сетевой администратор должен настроить сервер RADIUS для аутентификации этих MAC-адресов, либо добавив их в качестве обычных пользователей, либо реализовав дополнительную логику для их разрешения в базе данных сетевого инвентаризации.
Многие управляемые коммутаторы Ethernet предлагают для этого варианты.
Летом 2005 года Стив Райли из Microsoft опубликовал статью, в которой подробно описывалась серьезная уязвимость в протоколе 802.1X с участием человека в средней атаке. Таким образом, недостаток проистекает из того факта, что 802.1X аутентифицируется только в начале соединения, но после этой аутентификации злоумышленник может использовать аутентифицированный порт, если у него есть возможность физически вставить себя (возможно, используя рабочую группу hub) между аутентифицированным компьютером и портом. Райли предполагает, что для проводных сетей использование IPsec или комбинации IPsec и 802.1X будет более безопасным.
Кадры EAPOL-Logoff, передаваемые соискателем 802.1X, отправляются в открытом виде и не содержат данных, полученных в результате обмена учетными данными, который первоначально аутентифицировал клиента. Поэтому их тривиально легко подделать на общих носителях, и их можно использовать как часть целевого DoS как в проводных, так и в беспроводных локальных сетях. В атаке EAPOL-Logoff злонамеренная третья сторона, имеющая доступ к среде, к которой подключен аутентификатор, неоднократно отправляет поддельные кадры EAPOL-Logoff с MAC-адреса целевого устройства. Средство проверки подлинности (полагая, что целевое устройство желает завершить сеанс проверки подлинности) закрывает сеанс проверки подлинности целевого объекта, блокируя входящий трафик от целевого устройства и отказывая ему в доступе к сети.
Спецификация 802.1X-2010, которая началась как 802.1af, устраняет уязвимости в предыдущих спецификациях 802.1X, используя MACSec IEEE 802.1AE для шифрования данных между логическими портами (работающими поверх физического порта) и IEEE 802.1AR (Secure Device Identity). / DevID) устройства, прошедшие проверку подлинности.
В качестве временной меры, пока эти улучшения не будут широко реализованы, некоторые поставщики расширили протоколы 802.1X-2001 и 802.1X-2004, допустив одновременное выполнение нескольких сеансов аутентификации на одном порте. Хотя это предотвращает попадание трафика от устройств с неаутентифицированными MAC-адресами на аутентифицированный порт 802.1X, это не остановит злонамеренное устройство, отслеживающее трафик с аутентифицированного устройства, и не обеспечивает защиты от подмены MAC-адресов или атак EAPOL-Logoff.
IETF -backed альтернативой является протокол для переноски аутентификации для доступа к сети (PANA), который также несет EAP, хотя она работает на уровне 3, используя UDP, таким образом, не будучи привязанным к 802 инфраструктуре.
