Panoramica 802.1X e tipi di EAP
| Nota | Questi dati non sono destinati agli utenti domestici o di piccole aziende che in genere non utilizzano funzionalità di sicurezza avanzate come quelle discusse all'interno di questa pagina. Tuttavia, questi utenti possono trovare gli argomenti interessanti per scopi informativi. |
Panoramica 802.1X
802.1X è un protocollo di accesso alle porte per proteggere le reti tramite l'autenticazione. Di conseguenza, questo tipo di metodo di autenticazione è estremamente utile nell'ambiente Wi-Fi a causa della natura del supporto. Se un utente Wi-Fi viene autenticato tramite 802.1X per l'accesso alla rete, viene aperta una porta virtuale sul punto di accesso che consente la comunicazione. Se non è stata autorizzata correttamente, una porta virtuale non viene resa disponibile e le comunicazioni sono bloccate.
Ci sono tre componenti di base per l'autenticazione 802.1X:
- Supplicante Client software in esecuzione sulla workstation Wi-Fi.
- Autenticatore Punto di accesso Wi-Fi.
- Server di autenticazione Un database di autenticazione, in genere un server radius come Cisco ACS*, Funk Steel-Belted RADIUS* o Microsoft IAS*.
Extensible Authentication Protocol (EAP) viene utilizzato per passare le informazioni di autenticazione tra il supplicante (la workstation Wi-Fi) e il server di autenticazione (Microsoft IAS o altro). Il tipo EAP gestisce e definisce l'autenticazione. Il punto di accesso che funge da autenticatore è solo un proxy che consente al supplicante e al server di autenticazione di comunicare.
Quale dovrei usare?
Il tipo di EAP da implementare o se implementare 802.1X dipende dal livello di sicurezza di cui l'organizzazione ha bisogno, dall'overhead amministrativo e dalle funzionalità desiderate. Si spera che le descrizioni qui e un grafico comparativo faciliteranno le difficoltà nella comprensione della varietà di tipi di EAP disponibili.
Tipi di autenticazione EAP (Extensible Authentication Protocol)
Poiché la sicurezza Wi-Fi Local Area Network (WLAN) è essenziale e i tipi di autenticazione EAP offrono un mezzo potenzialmente migliore per proteggere la connessione WLAN, i fornitori stanno sviluppando rapidamente e aggiungendo tipi di autenticazione EAP ai loro punti di accesso WLAN. Alcuni dei tipi di autenticazione EAP più comunemente implementati includono EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast e Cisco LEAP.
- EAP-MD-5 (Message Digest) Challenge è un tipo di autenticazione EAP che fornisce supporto EAP di livello base. EAP-MD-5 è in genere sconsigliato per le implementazioni Wi-Fi LAN perché potrebbe consentire la derivazione della password dell'utente. Fornisce solo l'autenticazione unidirezionale: non esiste un'autenticazione reciproca del client Wi-Fi e della rete. E, cosa molto importante, non fornisce un mezzo per derivare chiavi di privacy equivalenti cablate (WEP) dinamiche per sessione.
- EAP-TLS (Transport Layer Security) fornisce l'autenticazione basata su certificati e mutua del client e della rete. Si basa su certificati sul lato client e sul lato server per eseguire l'autenticazione e può essere utilizzato per generare dinamicamente chiavi WEP basate sull'utente e basate su sessione per proteggere le comunicazioni successive tra il client WLAN e il punto di accesso. Uno svantaggio di EAP-TLS è che i certificati devono essere gestiti sia sul lato client che sul server. Per un'installazione WLAN di grandi dimensioni, potrebbe essere un'attività molto ingombrante.
- EAP-TTLS (Tunneled Transport Layer Security) è stato sviluppato da Funk Software* e Certicom*, come estensione di EAP-TLS. Questo metodo di sicurezza fornisce l'autenticazione reciproca basata su certificati del client e della rete tramite un canale crittografato (o tunnel), nonché un mezzo per derivare chiavi WEP dinamiche, per utente e per sessione. A differenza di EAP-TLS, EAP-TTLS richiede solo certificati sul lato server.
- EAP-FAST (Flexible Authentication via Secure Tunneling) è stato sviluppato da Cisco*. Invece di utilizzare un certificato per ottenere l'autenticazione reciproca. EAP-FAST si autentica tramite un PAC (Protected Access Credential) che può essere gestito dinamicamente dal server di autenticazione. Il PAC può essere predisposto (distribuito una volta) al client manualmente o automaticamente. Il provisioning manuale è la consegna al client tramite disco o un metodo di distribuzione della rete protetto. Il provisioning automatico è una distribuzione in banda, in aria.
- Extensible Authentication Protocol Method for GSM Subscriber Identity (EAP-SIM) è un meccanismo per l'autenticazione e la distribuzione delle chiavi di sessione. Utilizza il Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM). EAP-SIM utilizza una chiave WEP dinamica basata su sessione, derivata dalla scheda di rete client e dal server RADIUS, per crittografare i dati. EAP-SIM richiede di inserire un codice di verifica dell'utente, o PIN, per la comunicazione con la scheda del modulo di identità dell'abbonato (SIM). Una scheda SIM è una smart card speciale che viene utilizzata dalle reti cellulari digitali basate su Global System for Mobile Communications (GSM).
- EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) è un meccanismo EAP per l'autenticazione e la distribuzione delle chiavi di sessione, utilizzando l'Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). La scheda USIM è una smart card speciale utilizzata con le reti cellulari per convalidare un determinato utente con la rete.
- LEAP (Lightweight Extensible Authentication Protocol), è un tipo di autenticazione EAP utilizzato principalmente nelle WLAN Cisco Aironet*. Crittografa le trasmissioni di dati utilizzando chiavi WEP generate dinamicamente e supporta l'autenticazione reciproca. Finora proprietario, Cisco ha concesso in licenza LEAP a una varietà di altri produttori tramite il loro programma di estensioni compatibili Con Cisco.
- PEAP (Protected Extensible Authentication Protocol) fornisce un metodo per il trasporto sicuro dei dati di autenticazione, inclusi i protocolli legacy basati su password, tramite reti Wi-Fi 802.11. PEAP esegue questa operazione utilizzando il tunneling tra i client PEAP e un server di autenticazione. Come il tunneled Transport Layer Security (TTLS) standard in competizione, PEAP autentica i client Wi-Fi LAN utilizzando solo certificati sul lato server, semplificando così l'implementazione e l'amministrazione di una LAN Wi-Fi sicura. Microsoft, Cisco e RSA Security hanno sviluppato PEAP.
Tipi di EAP 802.1X Funzionalità/vantaggi | MD5 --- Digest messaggi 5 | TLS --- Sicurezza a livello di trasporto | TTLS --- Sicurezza a livello di trasporto con tunnel | PEAP --- Sicurezza a livello di trasporto protetto | VELOCE | SALTO --- Protocollo di autenticazione estendibile leggero |
| Certificato sul lato client richiesto | No | Sì | No | No | No (PAC) | No |
| Certificato sul lato server richiesto | No | Sì | Sì | Sì | No (PAC) | No |
| Gestione delle chiavi WEP | No | Sì | Sì | Sì | Sì | Sì |
| Rilevamento AP non autorizzato | No | No | No | No | Sì | Sì |
| Provider | SIGNORA | SIGNORA | Funk | SIGNORA | Cisco | Cisco |
| Attributi di autenticazione | Senso unico | Reciproco | Reciproco | Reciproco | Reciproco | Reciproco |
| Difficoltà di implementazione | Facile | Difficile (a causa della distribuzione dei certificati client) | Moderata | Moderata | Moderata | Moderata |
| Sicurezza Wi-Fi | Povero | Molto alto | Alto | Alto | Alto | Alto quando vengono utilizzate password complesse. |
Una revisione delle discussioni e della tabella di cui sopra fornisce di solito le seguenti conclusioni:
- MD5 non è in genere utilizzato in quanto esegue solo un'autenticazione unidirezionale e, forse ancora più importante, non supporta la distribuzione automatica e la rotazione delle chiavi WEP, quindi non fa nulla per alleviare l'onere amministrativo della manutenzione manuale delle chiavi WEP.
- TLS, anche se molto sicuro, richiede l'installazione dei certificati client su ciascuna workstation Wi-Fi. La manutenzione di un'infrastruttura PKI richiede ulteriori competenze amministrative e tempo oltre a quello di mantenere la WLAN stessa.
- TTLS risolve il problema del certificato eseguendo il tunneling di TLS ed eliminando così la necessità di un certificato sul lato client. Rendendo questa opzione spesso preferita. Funk Software* è il principale promotore di TTLS e c'è un costo per il software per server di supplica e autenticazione.
- LEAP ha la storia più lunga e, sebbene in precedenza Cisco proprietario (funziona solo con le schede di rete Wi-Fi Cisco), Cisco ha concesso in licenza LEAP a una varietà di altri produttori tramite il loro programma di estensioni compatibili Con Cisco. Quando LEAP viene utilizzato per l'autenticazione, è necessario applicare un criterio di password sicuro.
- EAP-FAST è ora disponibile per le aziende che non sono in grado di applicare criteri di password forti e non vogliono implementare certificati per l'autenticazione.
- Il PEAP più recente funziona in modo simile a EAP-TTLS in quanto non richiede un certificato sul lato client. PEAP è supportato da Cisco e Microsoft ed è disponibile senza costi aggiuntivi da Microsoft. Se si desidera passare da LEAP a PEAP, il server di autenticazione ACS di Cisco eseguirà entrambi.
Un'altra opzione è VPN
Invece di fare affidamento su Wi-Fi LAN per l'autenticazione e la privacy (crittografia), molte aziende implementano una VPN. Ciò avviene posizionando i punti di accesso all'esterno del firewall aziendale e facendo entrare il tunnel dell'utente tramite un gateway VPN, proprio come se si trattasse di un utente remoto. Gli aspetti negativi dell'implementazione di una soluzione VPN sono i costi, le complessità di installazione iniziali e l'overhead amministrativo in corso.
