IEEE 802.1X

IEEE 802.1X là một tiêu chuẩn IEEE cho port-based Network Access Control (PNAC). Nó là một phần của IEEE 802.1 nhóm các giao thức mạng. Nó cung cấp một cơ chế xác thực để các thiết bị có nhu cầu để gắn vào một mạng LAN hoặc WLAN.
IEEE 802.1X xác định việc đóng gói của Extensible Authentication Protocol (EAP) trên IEEE 802, [1] [2] được biết đến như "EAP qua mạng LAN" hoặc EAPOL. [3] EAPOL đầu được thiết kế theo chuẩn IEEE 802.3 Ethernet trong 802.1X-2001, nhưng đã được làm sáng tỏ cho phù hợp với công nghệ IEEE 802 LAN khác như IEEE 802.11 không dây và sợi phân phối Giao diện dữ liệu (ISO 9314-2) trong 802.1X-2004. [4] Các giao thức EAPOL cũng đã được sửa đổi để sử dụng với IEEE 802.1AE ("MACSec") và IEEE 802.1AR (Secure Device Identity, DevID) trong 802.1X-2010 [5] [6] để hỗ trợ xác định dịch vụ và điểm tùy chọn để chỉ mã hóa trên phân khúc mạng LAN.

Tổng quan

802.1X xác thực bao gồm ba bên: supplicant, thực hiện chứng thực, và một máy chủ xác thực. Các supplicant là một thiết bị của khách hàng (chẳng hạn như một máy tính xách tay) mà muốn kết nối vào các mạng LAN / WLAN. Thuật ngữ "nài nỉ" cũng được sử dụng thay thế cho nhau để tham khảo các phần mềm chạy trên máy khách cung cấp thông tin đến bộ thực hiện chứng thực. Việc xác thực là một thiết bị mạng, chẳng hạn như một chuyển mạch Ethernet hoặc điểm truy cập không dây; và máy chủ xác thực thường là một chạy phần mềm máy chủ hỗ trợ các giao thức RADIUS và EAP. Trong một số trường hợp, các phần mềm máy chủ xác thực có thể chạy trên các phần cứng thực hiện chứng thực.
Việc xác thực đóng vai trò như một người bảo vệ an ninh cho một mạng được bảo vệ. Các supplicant (tức là, thiết bị của khách hàng) không được phép truy cập thông qua xác thực để các bên bảo vệ của mạng cho đến khi danh tính của supplicant đã được xác nhận và ủy quyền. Một sự tương tự này là cung cấp một thị thực hợp lệ vào nhập cư đến của sân bay trước khi được phép nhập cảnh. Với xác thực port-based 802.1X, van nài này cung cấp thông tin, chẳng hạn như tên người dùng / mật khẩu hoặc giấy chứng nhận kỹ thuật số, để thẩm định, và thực hiện chứng thực chuyển tiếp thông tin đến máy chủ xác thực để xác minh. Nếu máy chủ xác thực xác định các thông tin có giá trị, các nài nỉ (thiết bị khách hàng) được phép truy cập tài nguyên nằm ở bên bảo vệ của mạng. [7]

EAP dữ liệu đầu tiên được gói gọn trong khung EAPOL giữa Supplicant và Authenticator, sau đó đóng gói giữa Authenticator và máy chủ xác thực bằng RADIUS hoặc đường kính.


Nghị định thư hoạt động [sửa]
EAPOL hoạt động ở lớp mạng trên đầu trang của các lớp liên kết dữ liệu, và trong Ethernet II giao thức khung có giá trị EtherType của 0x888E.
thực thể Cảng [sửa]
802.1X-2001 định nghĩa hai thực thể cổng logic cho một chứng thực port-các "cổng kiểm soát" và "cổng không kiểm soát được". Cổng kiểm soát được chế tác bởi các 802.1X PAE (Port truy cập Entity) để cho phép (trong nước có thẩm quyền) hoặc ngăn chặn (trong trạng thái trái phép) ingressing lưu lượng mạng và egressing đến / từ các cổng kiểm soát. Các cổng không kiểm soát được sử dụng bởi các 802.1X PAE để truyền và nhận các khung EAPOL.
802.1X-năm 2004 xác định các thực thể cổng tương đương cho các supplicant; do đó, một supplicant thực 802.1X-2004 có thể ngăn chặn các giao thức mức cao hơn được sử dụng nếu nó không phải là nội dung chứng thực đã hoàn tất thành công. Điều này đặc biệt hữu ích khi một phương pháp EAP cung cấp xác thực lẫn nhau được sử dụng, như kiểu van nài có thể ngăn chặn rò rỉ dữ liệu khi kết nối với một mạng trái phép.

tiến triển xác thực tiêu biểu

Các thủ tục xác thực điển hình bao gồm:

Khởi On phát hiện một supplicant mới, các cổng trên switch (xác thực) được kích hoạt và thiết lập lại trạng thái "trái phép". Trong trạng thái này, chỉ 802.1X giao thông được cho phép; giao thông khác, chẳng hạn như Internet Protocol (và với TCP và UDP), được giảm.
Initiation Để bắt đầu xác thực xác thực sẽ định kỳ truyền khung EAP-Request nhận dạng một địa chỉ đặc biệt lớp 2 trên đoạn mạng cục bộ. Các supplicant lắng nghe trên địa chỉ này, và khi nhận được khung nhận dạng EAP-Request nó phản ứng với một khung EAP-đáp ứng nhận dạng chứa một định danh cho supplicant như một ID người dùng. Việc xác thực sau đó gói gọn phản ứng nhận dạng này trong Access-Request gói RADIUS và chuyển nó vào máy chủ xác thực. Các supplicant cũng có thể bắt đầu hoặc khởi động lại xác thực bằng cách gửi một khung EAPOL-Start để thẩm định, sau đó sẽ trả lời với một khung nhận dạng EAP-Request.
Đàm phán (Kỹ thuật EAP đàm phán) Các máy chủ xác thực gửi thư trả lời (đóng gói trong một gói tin RADIUS Access-Challenge) để thẩm định, có chứa một yêu cầu EAP xác định các phương pháp EAP (Các loại EAP xác thực dựa trên nó muốn van nài để thực hiện). Việc xác thực đóng gói các yêu cầu EAP trong một khung EAPOL và truyền nó đến nài nỉ. Tại thời điểm này supplicant có thể bắt đầu sử dụng EAP Phương pháp yêu cầu, hoặc làm một NAK ( "Negative Acknowledgement") và đáp ứng với các phương pháp EAP nó là sẵn sàng để thực hiện.
Xác thực Nếu máy chủ xác thực và nài nỉ đồng ý về một phương pháp EAP, yêu cầu EAP và phản hồi được gửi đi giữa các supplicant và máy chủ xác thực (dịch bởi xác thực) cho đến khi máy chủ xác thực đáp ứng với là một thông EAP-Thành công (gói gọn trong một truy cập RADIUS gói -Accept), hoặc một thông EAP-Failure (gói gọn trong một RADIUS Access-Reject gói). Nếu xác thực thành công, xác thực đặt cổng vào trạng thái bình thường và giao thông "có thẩm quyền" được cho phép, nếu nó không thành công cảng vẫn còn trong trạng thái "trái phép". Khi supplicant log off, nó sẽ gửi một thông điệp EAPOL-logoff để thẩm định, các chứng thực sau đó đặt cổng vào nhà nước "trái phép", một lần nữa chặn tất cả lưu lượng không EAP.

Sơ đồ trình tự của sự tiến triển 802.1X

Triển khai [sửa]
Người van [sửa]
Bài chi tiết: Supplicant (máy tính)
Windows XP, Windows Vista và Windows 7 hỗ trợ 802.1X cho tất cả các kết nối mạng bằng cách mặc định. Windows 2000 có hỗ trợ trong các gói dịch vụ mới nhất (SP4) cho các kết nối có dây. Windows Mobile 2003 và hệ thống điều hành sau này cũng đi kèm với một máy khách 802.1X bản địa.
Một dự án mã nguồn mở được gọi là Open1X sản xuất một khách hàng, Xsupplicant. khách hàng này hiện có sẵn cho cả Linux và Windows. Những nhược điểm chính của khách hàng Open1X là nó không cung cấp tài liệu hướng dẫn người sử dụng dễ hiểu và bao quát và thực tế là hầu hết các nhà cung cấp Linux không cung cấp một gói cho nó. Các wpa_supplicant tổng quát hơn có thể được sử dụng cho các mạng không dây 802.11 và mạng có dây. Cả hai hỗ trợ một phạm vi rất rộng các kiểu EAP. [8]
IPhone và iPod Touch hỗ trợ 802.1X như của việc phát hành iOS 2.0. Android đã hỗ trợ cho 802.1x từ việc phát hành 1.6 Donut. Chrome OS đã hỗ trợ 802.1X kể từ giữa năm 2011. [9]
Mac OS X đã đề nghị hỗ trợ nguồn gốc từ 10,3. [10]
Avenda Systems cung cấp một supplicant cho Windows, Linux và Mac OS X. Họ cũng có một plugin cho các khuôn khổ NAP của Microsoft. [11] Avenda cũng cung cấp các đại lý kiểm tra sức khỏe là tốt.

Windows [sửa]
Cửa sổ mặc định không đáp ứng với yêu cầu xác thực 802.1X trong 20 phút sau khi nhận thực thất bại. Điều này có thể gây ra sự gián đoạn đáng kể cho khách hàng.
Thời kỳ khối có thể được cấu hình bằng cách sử dụng giá trị BlockTime trong registry. Một hotfix được yêu cầu cho Windows XP SP3 và Windows Vista SP2 để làm cho giai đoạn cấu hình. [12]
chứng chỉ máy chủ đại diện không được hỗ trợ bởi EAPHost, các thành phần Windows mà cung cấp hỗ trợ EAP trong hệ điều hành. [13] Ý nghĩa của việc này là khi sử dụng một cơ quan chứng nhận thương mại, chứng chỉ cá nhân phải được mua.

Windows XP [sửa]
Windows XP có vấn đề lớn với việc xử lý các thay đổi địa chỉ IP có được từ xác thực 802.1X dựa trên người dùng thay đổi các VLAN và do đó subnet của khách hàng. [14] Microsoft đã tuyên bố rằng nó sẽ không trở lại cổng tính năng SSO từ Vista mà giải quyết những vấn đề này. [15]
Nếu người dùng không đăng nhập vào với hồ sơ chuyển vùng, một hotfix phải được tải về và cài đặt nếu chứng thực qua PEAP với PEAP-MSCHAPv2. [16]
Windows Vista [sửa]
Windows Vista máy tính dựa trên kết nối thông qua một điện thoại IP có thể không xác thực như mong đợi và kết quả là, khách hàng có thể được đặt vào các VLAN sai. Một hotfix có sẵn để sửa chữa này. [17]
Windows 7 [sửa]
Windows 7 dựa trên các máy tính được kết nối thông qua một điện thoại IP có thể không xác thực như mong đợi và kết quả là, khách hàng có thể được đặt vào các VLAN sai. Một hotfix có sẵn để sửa chữa này. [17]
Windows 7 không đáp ứng với yêu cầu xác thực 802.1X sau khi xác thực 802.1X ban đầu thất bại. Điều này có thể gây ra sự gián đoạn đáng kể cho khách hàng. Một hotfix có sẵn để sửa chữa này. [18]
Windows PE [sửa]
Đối với hầu hết các doanh nghiệp triển khai và tung ra hệ điều hành từ xa, điều đáng chú ý rằng Windows PE không natively có bất kỳ hỗ trợ 802.1X. Tuy nhiên, hỗ trợ có thể được thêm vào WinPE 2.1 [19] và WinPE 3.0 [20] thông qua các hotfix có sẵn từ Microsoft. Mặc dù tài liệu đầy đủ là chưa có sẵn, tài liệu sơ bộ cho việc sử dụng các hotfix có sẵn thông qua một blog của Microsoft. [21]

Liên đoàn [sửa]
eduroam (dịch vụ chuyển vùng quốc tế), uỷ quyền sử dụng chứng thực 802.1X khi cung cấp truy cập mạng cho khách tham quan từ các tổ chức eduroam kích hoạt khác. [22]
BT (British Telecom, PLC) sử dụng Identity Federation để xác thực trong dịch vụ cung cấp một loạt các ngành công nghiệp và chính phủ. [23]
mở rộng độc quyền

MAB (MAC xác thực Bypass) [sửa]
Không phải tất cả các thiết bị hỗ trợ xác thực 802.1X. Ví dụ như máy in mạng, điện tử dựa trên Ethernet như cảm biến môi trường, máy ảnh và điện thoại không dây. Đối với những thiết bị được sử dụng trong một môi trường mạng được bảo vệ, cơ chế thay thế phải được cung cấp để xác thực chúng.
Một lựa chọn sẽ được vô hiệu hóa 802.1X trên cổng đó, nhưng mà lá cảng mà không được bảo vệ và mở cửa cho sự lạm dụng. Một người khác, tùy chọn hơi đáng tin cậy hơn là sử dụng các tùy chọn MAB. Khi MAB được cấu hình trên một cổng, trước cổng mà sẽ cố gắng để kiểm tra xem các thiết bị kết nối là 802.1X tuân thủ, và nếu không có phản ứng nhận được từ các thiết bị kết nối, nó sẽ cố gắng để xác thực với máy chủ AAA sử dụng địa chỉ MAC của thiết bị kết nối của là tên người dùng và mật khẩu. Người quản trị mạng thì phải làm cho các quy định trên máy chủ RADIUS để xác thực những MAC-địa chỉ, hoặc bằng cách thêm họ làm người dùng thường xuyên, hoặc thực hiện logic thêm để giải quyết chúng trong một cơ sở dữ liệu kiểm kê mạng.
Nhiều chuyển mạch Ethernet quản lý [24] [25] đề nghị tùy chọn cho việc này.

Lỗ hổng trong 802.1X-2001 và 802.1X-2004 [sửa]
phương tiện truyền thông chia sẻ [sửa]
Trong mùa hè năm 2005, Steve Riley của Microsoft đã đăng một bài viết chi tiết một lỗ hổng nghiêm trọng trong giao thức 802.1X, liên quan đến một người đàn ông trong cuộc tấn công trung bình. Tóm lại, các lỗ hổng xuất phát từ thực tế là 802.1X chỉ xác nhận vào đầu của kết nối, nhưng sau khi xác thực rằng, nó có thể cho một kẻ tấn công sử dụng các cảng thực, nếu ông có khả năng thể chất chèn mình (có thể sử dụng một nhóm làm việc hub) giữa các máy tính xác thực và các cảng. Riley cho thấy rằng đối với mạng có dây sử dụng IPsec hoặc một sự kết hợp của IPsec và 802.1X sẽ được an toàn hơn. [26]
khung EAPOL-Logoff truyền bởi supplicant 802.1X được gửi trong rõ ràng và không chứa dữ liệu thu được từ việc trao đổi chứng chỉ mà ban đầu được xác thực khách hàng. [27] Họ là do trivially dễ dàng để giả mạo trên phương tiện truyền thông chia sẻ, và có thể được sử dụng như là một phần của một DoS nhắm mục tiêu vào cả hai mạng LAN có dây và không dây. Trong một cuộc tấn công EAPOL-Logoff một bên thứ ba độc hại với quyền truy cập vào các trung bộ xác thực được gắn vào, liên tục sẽ gửi giả mạo EAPOL-Logoff khung từ thiết bị mục tiêu của địa chỉ MAC. Việc xác thực (tin rằng thiết bị nhắm mục tiêu mong muốn kết thúc phiên xác thực của nó) đóng phiên xác thực của mục tiêu, ngăn chặn ingressing giao thông từ các mục tiêu, phủ nhận nó truy cập vào mạng.
Các đặc điểm kỹ thuật 802.1X-2010, bắt đầu như 802.1af, giải quyết lỗ hổng trong thông số kỹ thuật 802.1X trước đó, bằng cách sử dụng MACSec IEEE 802.1AE để mã hóa dữ liệu giữa các cổng logic (chạy trên một cổng vật lý) và IEEE 802.1AR (Secure thiết bị nhận dạng / DevID) các thiết bị chứng thực. [5] [6] [28] [29]
Là một tạm thời cho đến khi các cải tiến được thực hiện rộng rãi, một số nhà cung cấp đã mở rộng thêm các 802.1X-2001 và giao thức 802.1X-2004, cho phép nhiều phiên xác thực đồng thời xảy ra trên một cổng duy nhất. Trong khi điều này ngăn cản giao thông từ các thiết bị có địa chỉ MAC không được thẩm ingressing trên một 802.1X xác thực cổng, nó sẽ không dừng lại một thiết bị độc hại rình mò về giao thông từ một thiết bị xác thực và không cung cấp bảo vệ chống giả mạo MAC, hoặc các cuộc tấn công EAPOL-Logoff.

Lựa chọn thay thế [sửa]
Việc thay thế IETF hậu thuẫn là Nghị định thư về Thực Authentication cho Network Access (PANA), mà cũng mang EAP, mặc dù nó hoạt động ở lớp 3, sử dụng UDP, do đó không bị ràng buộc với cơ sở hạ tầng 802.

https://en.wikipedia.org/wiki/IEEE_802.1X

Comments

Popular posts from this blog

Thiết lập card không dây trên Kali Linux

Monitor mode

Giới thiệu - Scapy