משתמש:Pasteran/טיוטה

IEEE 802.1x הוא תקן (סטנדרט) של ה-IEEE (איגוד מהנדסים בינ"ל) עבור בקרת גישה לרשת מבוססת פורטים. התקן הינו חלק ממשפחה של פרוטוקולי רשת, IEEE 802.1, המתקננים תקשורת בעיקר בשכבות נמוכות כמו שכבת הקו. הוא מספק מנגנון אימות למכשירים המבקשים להתחבר לרשת מקומית - קווית (LAN) ואלחוטית (WLAN) - כלומר טרם קבלת יכולת להעביר אינפורמציה של ממש ברשת (למשל כשלמכשיר עדיין אין כתובת IP). ה- IEEE 802.1X מגדיר שלושה רכיבים - מבקש האימות, המאמת ושרת האימות - ודרכי התקשרות ביניהם למען דחיית או קבלת מבקש האימות. האימות מתבצע באמצעות פרוטוקול כללי, EAP) Extensible Authentication Protocol), כאשר התקן מגדיר כיצד EAP נעטף (encapsulated) בשכבת הקו ("EAP מעל LAN" או EAPOL) בין המבקש למאמת. הוא קובע כי עטיפתו בין המאמת לשרת האימות תעשה באמצעות פרוטוקלי AAA קיימים - RADIUS או Diameter.

EAPOL was originally designed for IEEE 802.3 Ethernet in 802.1X-2001, but was clarified to suit other IEEE 802 LAN technologies such as IEEE 802.11 wireless and Fiber Distributed Data Interface (ISO 9314-2) in 802.1X-2004.^[1] The EAPOL protocol was also modified for use with IEEE 802.1AE (“MACsec”) and IEEE 802.1AR (Secure Device Identity, DevID) in 802.1X-2010^[2]^[3] to support service identification and optional point to point encryption over the local LAN segment.

Overview[עריכת קוד מקור | עריכה]

הפרוטוקול מגדיר שלושה צדדים בתהליך האימות: המבקש ("supplicant"), המאמת ("authenticator") ושרת אימות. המבקש הוא מכשיר (כגון מחשב נייד או טלפון חכם) המתחבר לרשת המקומית. ליתר דיוק, מדובר בתוכנת לקוח הרצה על המכשיר המתחבר, ממשת את הפרוטוקול ויודעת לספק אמצעי זיהוי ("credentials") של המבקש עבור המאמת. אמצעי הזיהוי יכול להיות שם-משתמש וססמה או סרטיפיקט דיגיטלי. שרת האימות הוא שרת (host) ובו מאגר זהויות כולל פרטיהם והשראותיהם בפורמט אחסנה וגישה מסוים - כמו active directory או שרתי LDAP אחרים. המאמת הוא מכשיר רשת - כגון מתג Ethernet (ב-LAN) או נתב אלחוטי (ב-WLAN) - ה"מתרגם" את המידע (חבילות EAP) ממבנה אותו מכיר המבקש למבנה אותו מכיר השרת, ולהפך. כלומר הוא יודע לתקשר הן עם המאמת (באמצעות EAPOL) והן עם שרת האימות (באמצעות RADIUS למשל) ולהתאים בין פורמט המידע המועברים בשני ערוצי תקשורת אלה (למשל להעביר את פרטי זהות המבקש לשרת האימות). בסופו של דבר, רכיב זה הוא המעניק או מונע גישה מהמבקש. כל עוד זהות המבקש לא אומתה, הוא חסום מלהעביר כל תקשורת ברשת שאיננה קשורה לתהליך האימות עצמו. הוא משמש איפוא כמעין שוער כניסה לרשת (באנלוגיה לעולם האמיתי, הוא חוסם את המבקר באתר, מקבל את פרטי הזהות שלו (למשל ת.ז.), בודק אותם אל מול מאגר מידע (למשל ת.ז. של מורשי הכניסה לאתר) וכך מחליט האם להכניס את המבקר).

EAP data is first encapsulated in EAPOL frames between the Supplicant and Authenticator, then re-encapsulated between the Authenticator and the Authentication server using RADIUS or Diameter.

802.1X authentication involves three parties: a supplicant, an authenticator, and an authentication server. The supplicant is a client device (such as a laptop) that wishes to attach to the LAN/WLAN - though the term 'supplicant' is also used interchangeably to refer to the software running on the client that provides credentials to the authenticator. The authenticator is a network device, such as an Ethernet switch or wireless access point; and the authentication server is typically a host running software supporting the RADIUS and EAP protocols.

The authenticator acts like a security guard to a protected network. The supplicant (i.e., client device) is not allowed access through the authenticator to the protected side of the network until the supplicant’s identity has been validated and authorized. An analogy to this is providing a valid visa at the airport's arrival immigration before being allowed to enter the country. With 802.1X port-based authentication, the supplicant provides credentials, such as user name / password or digital certificate, to the authenticator, and the authenticator forwards the credentials to the authentication server for verification. If the authentication server determines the credentials are valid, the supplicant (client device) is allowed to access resources located on the protected side of the network.^[4]

Protocol operation[עריכת קוד מקור | עריכה]

EAPOL operates at the network layer on top of the data link layer, and in Ethernet II framing protocol has an EtherType value of 0x888E.

Port entities[עריכת קוד מקור | עריכה]

802.1X-2001 defines two logical port entities for an authenticated port the "controlled port" and the "uncontrolled port". The controlled port is manipulated by the 802.1X PAE (Port Access Entity) to allow (in the authorized state) or prevent (in the unauthorized state) network traffic ingressing and egressing to/from the controlled port. The uncontrolled port is used by the 802.1X PAE to transmit and receive EAPOL frames.

802.1X-2004 defines the equivalent port entities for the supplicant; so a supplicant implementing 802.1X-2004 may prevent higher level protocols being used if it is not content that authentication has successfully completed. This is particularly useful when an EAP method providing Mutual Authentication is used, as the supplicant can prevent data leakage when connected to an unauthorized network.

Typical authentication progression[עריכת קוד מקור | עריכה]

אתחול(מצב האפס): כאשר מתחבר מבקש אימות חדש היציאה המבוקרת סגורה בפניו כך שרק תעבורת 802.1X המשמשת לאימות אפשרית (דרך היציאה הלא מבוקרת).
פתיחה(בקשת הזדהות): מבקש האימות מאזין לכתובת מיוחדת במקטע הרשת המקומית (בשכבה 2). מדי זמן מסוים, המאמת שולח לכתובת זו בקשת-זיהוי-EAP. המבקש יכול גם לעורר שליחת בקשה זו על-ידי שליחת פתח-EAPOL למאמת. מבקש האימות משיב לבקשת הזיהוי בתשובת-זיהוי-EAP המכילה אמצעי זיהוי שלו כגון זהות משתמש (User ID). המאמת עוטף תשובה זו בבקשת-גישה-RADIUS ומעביר אותה לשרת האימות.
משא ומתן (בחירת השיטה): שרת האימות משיב לבקשת המאמת באתגר-גישה-RADIUS המכיל בקשת-EAP המפרטת את שיטת ה-EAP - סוג האימות אותו השרת דורש ממבקש האימות. המאמת עוטף בקשת-EAP זו ומשדרה למבקש. זה בתורו יכול לקבל את השיטה ולהענות ל"אתגר", או לדחותה באמצעות שליחת NAK ("קבלה שלילית", "Negative Acknowledgement") ופירוט שיטת ה-EAP בה מוכן להתאמת.
וידוא הזהות: אם הסכימו המבקש ושרת האימות על שיטת EAP, הם מחליפים ביניהם את המידע המוגדר בשיטה - בדרך כלל "אתגרים" שהשרת מעמיד בפני המבקש כלומר שאלות הזדהות שרק מי שהוא באמת בעל הזהות שהוצגה בשלב הפתיחה יכול לענות עליהם בודאות. באם השרת משתכנע שמבקש האימות הוא אכן מי שהוא טוען שהוא, ובעל זהות זו מורשה כניסה לרשת, או אז ישיב שרת האימות בהודעת הצלחת-EAP (עטופה בקבלת-גישה-RADIUS). אחרת הוא ישיב בהודעת כשלון-EAP (עטופה בדחיית-גישה-RADIUS).
כניסה ויציאה: אם צלח וידוא הזהות, המאמת מעביר את היציאה המבוקרת למצב "רשאי" בו כל תעבורה יכולה לעבור. אחרת נשארת היציאה במצב "לא-רשאי". כאשר המבקש מתנתק מהרשת, עליו לשלוח הודעת ניתוק-EAPOL למאמת. זה יחזיר את היציאה למצב "לא-רשאי" החוסם כל תעבורה שאינה EAP.

Proprietary extensions[עריכת קוד מקור | עריכה]

MAB (MAC Authentication Bypass)[עריכת קוד מקור | עריכה]

Not all devices support 802.1X authentication: examples are network printers, ethernet-based electronics like environmental sensors, cameras, wireless phones etc. For those devices to be used in a protected network environment, alternative mechanisms must be provided to authenticate them.

One option would be to disable 802.1X on that port: but that leaves that port unprotected and open for abuse. Another, slightly more reliable option, is to use the MAB option. When MAB is configured on a port that port will first try to check if the connected device is 802.1X compliant and if no reaction is received from the connected device it will try to authenticate towards the AAA server using the connected device's MAC address as username and password. The network-administrator then must make provisions on the RADIUS server to authenticate those MAC-Addresses, either by adding them as regular users, or implementing additional logic to resolve them in a network inventory database.

Many managed ethernet switches ^[5]^[6] offer options for this.

Vulnerabilities in 802.1X-2001 and 802.1X-2004[עריכת קוד מקור | עריכה]

Shared media[עריכת קוד מקור | עריכה]

In the summer of 2005, Microsoft's Steve Riley posted an article detailing a serious vulnerability in the 802.1X protocol, involving a man in the middle attack. In summary, the flaw stems from the fact that 802.1X authenticates only at the beginning of the connection, but that after authentication, it's possible for an attacker to use the authenticated port if he has the ability to physically insert himself (perhaps using a workgroup hub) between the authenticated computer and the port. Riley suggests that for wired networks the use of IPsec or a combination of IPsec and 802.1X would be more secure.^[7]

EAPOL-Logoff frames transmitted by the 802.1X supplicant are sent in the clear and contain no data derived from the credential exchange that initially authenticated the client.^[8] They are therefore trivially easy to spoof on shared media, and can be used as part of a targeted DoS on both wired and wireless LANs. In an EAPOL-Logoff attack a malicious third party with access to the medium the authenticator is attached to, repeatedly sends forged EAPOL-Logoff frames from the target device's MAC Address. The authenticator (believing that the targeted device wishes to end its authentication session) closes the target's authentication session, blocking traffic ingressing from the target, denying it access to the network.

The 802.1X-2010 specification, which began as 802.1af, addresses vulnerabilities in previous 802.1X specifications, by using MACSec IEEE 802.1AE to encrypt data between logical ports (running on top of a physical port) and IEEE 802.1AR (Secure Device Identity / DevID) authenticated devices.^[2]^[3]^[9]^[10]

As a stopgap until these enhancements are widely implemented, some vendors have extended the 802.1X-2001 and 802.1X-2004 protocol, allowing multiple concurrent authentication sessions to occur on a single port. While this prevents traffic from devices with unauthenticated MAC addresses ingressing on an 802.1X authenticated port, it will not stop a malicious device snooping on traffic from an authenticated device and provides no protection against MAC spoofing, or EAPOL-Logoff attacks.

References[עריכת קוד מקור | עריכה]

^ IEEE 802.1X-2004, § 3.2.2
^ ¹ ² IEEE 802.1X-2010, page iv
^ ¹ ² IEEE 802.1X-2010, § 5
^ "802.1X Port-Based Authentication Concepts". נבדק ב-2008-07-30.
^ MAC Authentication Bypass Deployment Guide, May 2011. Retrieved: 26 January, 2012
^ Dell PowerConnect 6200 series CLI Guide, page: 622, Revision: A06-March 2011. Retrieved: 26 Januari, 2013
^ "Steve Riley's article on the 802.1X vulnerabilities". Microsoft.com. 2005-08-09. נבדק ב-2010-02-10.
^ IEEE 802.1X-2001, § 7.1
^ "2 February 2010 Early Consideration Approvals". Standards.ieee.org. נבדק ב-2010-02-10.
^ "IEEE 802.1: 802.1X-2010 - Revision of 802.1X-2004". Ieee802.org. 2010-01-21. נבדק ב-2010-02-10.

External links[עריכת קוד מקור | עריכה]

תבנית:IEEE standards

IEEE 802.01x

קטגוריה:Networking standards

קטגוריה:Computer access control protocols

קטגוריה:Computer network security

[1] IEEE 802.1X-2004, § 3.2.2

[802.1X-2010_seciv-2] ¹ ² IEEE 802.1X-2010, page iv

[802.1X-2010_sec5-3] ¹ ² IEEE 802.1X-2010, § 5

[4] "802.1X Port-Based Authentication Concepts". נבדק ב-2008-07-30.

[5] MAC Authentication Bypass Deployment Guide, May 2011. Retrieved: 26 January, 2012

[6] Dell PowerConnect 6200 series CLI Guide, page: 622, Revision: A06-March 2011. Retrieved: 26 Januari, 2013

[7] "Steve Riley's article on the 802.1X vulnerabilities". Microsoft.com. 2005-08-09. נבדק ב-2010-02-10.

[8] IEEE 802.1X-2001, § 7.1

[9] "2 February 2010 Early Consideration Approvals". Standards.ieee.org. נבדק ב-2010-02-10.

[10] "IEEE 802.1: 802.1X-2010 - Revision of 802.1X-2004". Ieee802.org. 2010-01-21. נבדק ב-2010-02-10.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

	דף זה אינו ערך אנציקלופדי
	דף זה הוא טיוטה של Pasteran.

דף זה אינו ערך אנציקלופדי
דף זה הוא טיוטה של Pasteran.