Panoramica 802.1X e tipi di EAP

Documentazione

Documentazione e informazioni sui prodotti

000006999

26/03/2021

NotaQuesti dati non sono destinati agli utenti di case o piccoli uffici che in genere non utilizzano funzionalità di sicurezza avanzate, come quelle descritte in questa pagina. Tuttavia, questi utenti potrebbero trovare interessanti argomenti a scopo informativo.

 

Panoramica su 802.1X

802.1X è un protocollo di accesso alle porte per proteggere le reti tramite l'autenticazione. Di conseguenza, questo tipo di metodo di autenticazione è estremamente utile nell'ambiente Wi-Fi a causa della natura del supporto. Se un utente Wi-Fi viene autenticato tramite 802.1X per l'accesso alla rete, sul punto di accesso che consente la comunicazione viene aperta una porta virtuale. Se non viene autorizzata, una porta virtuale non è disponibile e le comunicazioni vengono bloccate.

Esistono tre componenti di base per l'autenticazione 802.1X:

  1. Conseplicante Un client software in esecuzione sulla workstation Wi-Fi.
  2. Autenticatore Punto di accesso Wi-Fi.
  3. Server di autenticazione Un database di autenticazione, in genere un server radius come Cisco ACS*, Larive Steel 3.0 o Microsoft IAS*.

Il protocollo EAP (Extensible Authentication Protocol) viene utilizzato per passare le informazioni di autenticazione tra l'plicant (la workstation Wi-Fi) e il server di autenticazione (Microsoft IAS o altro). Il tipo EAP gestisce e definisce effettivamente l'autenticazione. Il punto di accesso che funge da autenticatore è solo un proxy per consentire la comunicazione tra l'utente e il server di autenticazione.

Quale è la funzione da utilizzare?

Il tipo di EAP da implementare o se implementare 802.1X dipende dal livello di sicurezza di cui l'organizzazione ha bisogno, dal sovraccarico amministrativo e dalle funzionalità desiderate. Le descrizioni disponibili in questo documento e una tabella comparativa faciliteranno le difficoltà di comprendere la varietà di tipi di EAP disponibili.

Tipi di autenticazione Extensible Authentication Protocol (EAP)

Dato che la sicurezza della rete Wi-Fi Local Area Network (WLAN) è essenziale e i tipi di autenticazione EAP offrono un modo potenzialmente migliore per proteggere la connessione WLAN, i fornitori stanno sviluppando rapidamente e aggiungendo tipi di autenticazione EAP ai loro punti di accesso WLAN. Alcuni dei tipi di autenticazione EAP più comunemente implementati includono EAP-MD-5, EAP-TLS, EAP-ALTREP, EAP-TTLS, EAP-Fast e Cisco LEAP.

  • EAP-MD-5 (Message Digest) Challenge è un tipo di autenticazione EAP che fornisce il supporto EAP a livello di base. L'EAP-MD-5 in genere non è consigliato per le implementazioni LAN Wi-Fi poiché può consentire la derivazione della password dell'utente. Fornisce solo l'autenticazione unidirezione: non esiste autenticazione reciproca tra il client Wi-Fi e la rete. E, soprattutto, non fornisce uno strumento per derivare le chiavi WEP (Dynamic, Per Session Wired Equivalent Privacy).
  • EAP-TLS (Transport Layer Security) fornisce l'autenticazione basata su certificati e reciproca del client e della rete. Si basa su certificati lato client e lato server per eseguire l'autenticazione e può essere utilizzato per generare dinamicamente chiavi WEP basate sull'utente e basate su sessione per proteggere le comunicazioni successive tra il client WLAN e il punto di accesso. Uno svantaggio di EAP-TLS è che i certificati devono essere gestiti sia sul lato client che sul lato server. Per un'installazione WLAN di grandi dimensioni, questa potrebbe essere un'attività molto complicata.
  • L'EAP-TTLS (Tunneled Transport Layer Security) è stata sviluppata da Gestione software e Certicom* come estensione di EAP-TLS. Questo metodo di sicurezza fornisce l'autenticazione reciproca e basata su certificati del client e della rete tramite un canale crittografato (o tunnel) e un modo per derivare chiavi WEP dinamiche, per utente e per sessione. A differenza di EAP-TLS, EAP-TTLS richiede solo certificati lato server.
  • EAP-FAST (Flexible Authentication via Secure Tunneling) è stato sviluppato da Cisco*. Invece di utilizzare un certificato per ottenere l'autenticazione reciproca. EAP-FAST esegue l'autenticazione tramite una PAC (Protected Access Credential) che può essere gestita dinamicamente dal server di autenticazione. Il pac può essere eseguito il provisioning (distribuito una volta) al client manualmente o automaticamente. Il provisioning manuale è il recapito al client tramite disco o un metodo di distribuzione della rete protetto. Il provisioning automatico è una distribuzione in-band, over the air.
  • Extensible Authentication Protocol Method for GSM Subscriber Identity (EAP-SIM) è un meccanismo per l'autenticazione e la distribuzione delle chiavi di sessione. Utilizza il Modulo di identità sottoscrittore (SIM) Global System for Mobile Communications (GSM). EAP-SIM utilizza una chiave WEP dinamica basata su sessione, derivata dalla scheda di rete client e dal server RADIUS, per crittografare i dati. EAP-SIM richiede di inserire un codice di verifica utente, o PIN, per le comunicazioni con la scheda SIM (Subscriber Identity Module). Una scheda SIM è una smart card speciale che viene utilizzata dal sistema globale per le reti cellulari digitali basate su Mobile Communications (GSM).
  • EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) è un meccanismo EAP per l'autenticazione e la distribuzione delle chiavi di sessione, utilizzando il Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). La scheda USIM è una smart card speciale utilizzata con le reti cellulari per convalidare un determinato utente con la rete.
  • LEAP (Lightweight Extensible Authentication Protocol), è un tipo di autenticazione EAP utilizzato principalmente nelle reti WLAN Cisco Aironet*. Crittografa le trasmissioni dei dati utilizzando chiavi WEP generate dinamicamente e supporta l'autenticazione reciproca. Prima di essere proprietaria, Cisco ha concesso in licenza LEAP a una varietà di altri produttori tramite il loro programma Cisco Compatible Extensions.
  • IL PROTOCOLLO DI AUTENTICAZIONE (Protected Extensible Authentication Protocol) offre un metodo per il trasporto dei dati di autenticazione in modo sicuro, inclusi i protocolli legacy basati su password, tramite reti Wi-Fi 802.11. A tal fine, UTILIZZARE IL tunneling tra i client EP e un server di autenticazione. Come la concorrenza con la concorrenza TTLS (Tunneled Transport Layer Security), LAN AUTHENTICATEP autentica i client LAN Wi-Fi utilizzando solo certificati sul lato server, semplificando in questo modo l'implementazione e l'amministrazione di una LAN Wi-Fi sicura. Microsoft, Cisco e LA sicurezza DISattesa HANNO sviluppato ILAP.

Tipi di EAP 802.1X

Caratteristiche/vantaggi

MD5
---
Digest del messaggio 5
Tls
---
Sicurezza a livello di trasporto
Ttls
---
Sicurezza a livello di trasporto tunneled
Peap
---
Sicurezza a livello di trasporto protetto

veloce
---
Autenticazione flessibile tramite tunneling protetto

Salto
---
Protocollo di autenticazione estensibile leggero
Certificato lato client richiestoNoNoNoNo
(PAC)
No
Certificato server-side richiestoNoNo
(PAC)
No
Gestione delle chiavi WEPNo
Rilevamento dei punto di accesso non autorizzatoNoNoNoNo
ProviderSignoraSignoraFunkSignoraCiscoCisco
Attributi di autenticazionesenso unicoReciprocoReciprocoReciprocoReciprocoReciproco
Difficoltà di implementazioneFacileDifficile (a causa dell'implementazione di certificati client)ModerataModerataModerataModerata
Sicurezza Wi-FipoveroMolto altaaltoaltoaltoAlto quando vengono utilizzate password complesse.

 

Una revisione delle discussioni e della tabella di cui sopra fornisce solitamente le seguenti informazioni:

  • MD5 in genere non viene utilizzato in quanto esegue solo un'autenticazione unidireale e, soprattutto, non supporta la distribuzione e la rotazioni automatiche delle chiavi WEP, quindi non consente di alleggerire il carico amministrativo della manutenzione manuale delle chiavi WEP.
  • TLS, anche se molto sicuro, richiede l'installazione di certificati client su ogni workstation Wi-Fi. La manutenzione di un'infrastruttura PKI richiede ulteriori competenze amministrative e tempo in aggiunta a quella di mantenere la WLAN stessa.
  • TTLS risolve il problema del certificato tramite tunneling TLS, eliminando così la necessità di un certificato sul lato client. Si tratta di un'opzione che spesso si preferisce. Il programma Dir Software* è il principale promotore di TTLS, e c'è una ricarica per software server di autenticazione e complici.
  • LEAP ha la storia più lunga e, sebbene precedentemente proprietaria di Cisco (funziona solo con le schede di rete Wi-Fi Cisco), Cisco ha concesso in licenza LEAP a una varietà di altri produttori tramite il loro programma Cisco Compatible Extensions. Quando si utilizza LEAP per l'autenticazione, è necessario applicare criteri per password forti.
  • EAP-FAST è ora disponibile per le aziende che non possono applicare criteri per password forti e non vogliono implementare certificati per l'autenticazione.
  • Il più recente FUNZIONA IN MODO simile a EAP-TTLS in quanto non richiede un certificato sul lato client. IL PROGRAMMA È supportato da Cisco e Microsoft ed è disponibile senza costi aggiuntivi da microsoft. Se si desidera passare da LEAP a CUIP, il server di autenticazione ACS di Cisco eseguirà entrambe le operazioni.

Un'altra opzione è vpn

Invece di fare affidamento su LAN Wi-Fi per l'autenticazione e la privacy (crittografia), molte aziende implementano una VPN. Ciò si può fare posizionando i punti di accesso al di fuori del firewall aziendale e facendo accedere il tunnel utente tramite un gateway VPN, proprio come se si tratta di un utente remoto. Gli aspetti negativi dell'implementazione di una soluzione VPN sono costi, complessità iniziali di installazione e overhead di amministrazione continua.