IEEE 802.1x
(Port Based Network Access Control)
IEEE 802.1x

standard IEEE basato sul controllo delle porte di accesso alla rete
LAN e MAN.
collegamento punto a punto
utilizzato dalle reti locali wireless per gestire le connessioni agli access
point
si basa sul protocollo EAP, Extensible Authentication Protocol
OBIETTIVO:
 risolvere le insicurezze del WEP
802.1x: attori coinvolti
Supplicant, il client che richiede di essere autenticato
Authenticator, il dispositivo che esegue l'inoltro della richiesta di accesso
Authentication Server, il dispositivo che effettua il controllo sulle credenziali
di accesso del supplicant ed autorizza l'accesso (un server RADIUS )
Di cosa c’è bisogno?

un'infrastruttura di supporto, in particolare di client che supportino 802.1X

switch LAN e access point wireless che possano utilizzare 802.1X

un server RADIUS e un database di account (come Active Directory).

Configurazione server RADIUS
RADIUS


RADIUS (Remote Access Dial-In User Service)
protocollo AAA (authentication, authorization, accounting) utilizzato in
applicazioni di accesso alle reti o di mobilità IP.
RADIUS è attualmente lo standard de-facto per l’autenticazione remota,
prevalendo sia nei sistemi nuovi che in quelli già esistenti.
RADIUS: aspetti fondamentali

RADIUS è un protocollo ampiamente utilizzato negli ambienti distribuiti.
(router, server modem, switch ecc.)

Gestione di sistemi integrati con un gran numero di utenti con informazioni di
autenticazione distinte

RADIUS facilita l’amministrazione utente centralizzata, (gestione operazioni
di migliaia di utenti)
amministrazione centralizzata  requisito operativo.
RADIUS: aspetti fondamentali(2)

RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di
sniffing. Altri protocolli di autenticazione remota offrono una protezione
intermittente, inadeguata o addirittura inesistente.

Un supporto RADIUS è supportato da parte dei fornitori di hardware
uniformemente.

Difetto UDP
Configurazione RADIUS

IAS

Certificate Service

Server Web (Apache o IIS)
Configurazione AP

Configurazione tipologia crittografia

Configurazione password o certificati

Configurazione indirizzi IP
Configurazione client

Configurazione metodo crittografia

Configurazione metodo autenticazione
(MD5,PEAP)

Configurazione settaggi della connessione
wireless
Funzionamento

Richiesta accesso nodo wireless (WN) alle risorse di una LAN (supplicant
del nodo wireless)

L’access point (AP) ne richiede l’identità. Nessun altro tipo di traffico è
consentito oltre a EAP(EAPOL).

Il supplicant fornisce le risposte all’autenticatore (si dice che invia la propria
identità) che ne verificherà le credenziali.
Funzionamento (2)

L’autenticatore re-incapsula i messaggi EAP(formato EAPOL) in
formato RADIUS, e li passa al server di autenticazione.

Il server RADIUS interpreta la richiesta RADIUS confrontando
l’identità del richiedente con i clients abilitati residenti nel DB.

il server di autenticazione invia un messaggio di successo (o di
fallimento, se l’autenticazione fallisce). L’autenticatore quindi apre la
“porta” al supplicant

Dopo un’autenticazione andata a buon fine, viene garantito al
supplicant l’accesso alle altre risorse della LAN e/o ad Internet.
Considerazioni

802.1x non fornisce dunque alcuna autenticazione;

dare all’access point la capacità di inoltrare le credenziali del client al
server RADIUS e la relativa risposta verso il client stesso.

funzionalità trova compimento implementando i protocolli RADIUS e
EAP.
EAP

protocollo utilizzato inizialmente per dial-up PPP.

L’identità era l’ username, ed era utilizzata l’autenticazione PAP o CHAP per
verificare la password dell’utente.

Poiché l’identità è inviata in chiaro, uno sniffer malintenzionato può venirne
facilmente a conoscenza. Dopo l’autenticazione si ha un tunnel TLS crittato.
Tipologie EAP: MD5
EAP-MD5
MD5 (=CHAP) algoritmo hash a senso unico utilizzato in combinazione con
un segreto condiviso e una richiesta di identificazione .
 basso livello di sicurezza
PUNTI DEBOLI:
 ottenere la richiesta e la risposta hash tramite sniffing

vulnerabile agli attacchi basati su dizionario.
Tipologie EAP: TLS
EAP-TLS.
 sessione TLS (Transport Layer Security)

Invio, autenticazione e convalida reciproca del certificato digitale tra il
richiedente (certificato server) e il server autenticazione (certificato client)
MIGLIORAMENTI:
 Maggiore sicurezza (rispetto all’MD5)
Tipologie EAP: PEAP
PEAP (Protected EAP).
 PEAP avvia la procedura come EAP:
 sessione TLS con il richiedente
 Invio (solo da parte del server) dell proprio certificato digitale per la
convalida.
 l'autenticazione del richiedente (in Windows MS-CHAPv2) tramite
account tradizionali (ID e password dell'utente o del computer).
PEAP-EAP-TLS
 configurabile.
 instaura due sessioni TLS completamente separate
Metodo
Chiave dinamica
Mutua autenticazione
ID e pw
Metodi di attacco

MD5
TLS
No
Sì
No
Sì
Sì
No


Attacco basato su
dizionario
Man in the middle
Dirottamento di
sessione
Offre un'elevata sicurezza
Commenti




Facile da implementare
Supportato su molti server
Insicuro
Richiede database con testo in
chiaro


Richiede certificati del client
Innalza i costi di
manutenzione
Autenticazione a due fattori
con smart-card

SRP
Sì
Sì
Sì
Attacco basato su
dizionario



LEAP
Sì
Sì
Sì
Attacco basato su
dizionario


Assenza di certificati
Attacco su dizionario per le
credenziali
Diritti di proprietà intellettuale
Soluzione proprietaria
Gli access point devono
supportarlo
Chiave
dinamica
Metodo
SIM
Sì
Mutua autenticazione
Sì
ID e pw
Metodi di attacco
No
Vulnerabile allo spoofing
Commenti


AKA
SecurID
Sì
No
Sì
No
Elevata sicurezza per
ambienti cellulari
No
No

Man-in-the-middle
Dirottamento di sessione






TTLS
Sì
Sì
No
Elevata sicurezza

PEAP
Sì
Sì
Si
Elevata sicurezza



Infrastruttura basata sul
roaming GSM
Autenticazione a due fattori
Infrastruttura basata sul
roaming GSM
Autenticazione a due fattori
Richiede autenticazione
sotto tunnel
Autenticazione a due fattori
Creazione di un tunnel TLS
(SSL) sicuro
Supporta i tradizionali
metodi di autenticazione: PAP,
CHAP, MS-CHAP, MS-CHAP
V2
L'identità dell'utente è
protetta (crittata)
Simile all'EAP-TTLS
Creazione di un tunnel TLS]
(SSL) sicuro
L'identità dell'utente è
protetta (crittata)
802.1x reti cablate

infrastruttura adeguatamente aggiornata. (supporto 802.1X per switch e
router)

Ogni switch richiede un certificato digitale che presenta durante
l'autenticazione rispetto ai client. (soluzione costosacertificazione aziendale
Windowsaffidabilità interna)

client  stack IP che supporti 802.1X.
Insufficienza nelle reti cablate

802.1X è la base ideale per la protezione wireless

Problemi reti cablate:
Problema autenticazione della sola macchina con PEAP

scadenza validità password per utente

Impossibilità accesso al dominio

scambio dei messaggi tra due DLL coinvolte nell'autenticazione non avviene
correttamente
impiego di dispositivi che non utilizzano questo standard
Insufficienza nelle reti cablate (2)
scarsa gestibilità: nei criteri di gruppo AD, vi sono diversi oggetti Criteri di
gruppo che consentono di gestire 802.1X nelle reti wireless ma non le
interfacce cablate.
il protocollo esegue l'autenticazione solo quando viene effettuato il
collegamento.
Il traffico successivo non viene e un’eventuale intruso può connettersi alle
risorse appartenenti alla rete protetta.
Insufficienza reti cablate (3)
Possibile intrusione
Possibile intrusione


ICMP o UDP
(ping ai computer della rete e ricevere un'autorizzazione DHCP--lo stesso indirizzo IP
della vittima).
no TCP(reimpostazione della connessione dovuta alle continue rigenerazioni di ACK e
SYN)

Il computer ombra invia un pacchetto SYN a un server della rete protetta.

Il server restituisce il SYN-ACK, che viene ricevuto sia dall'ombra, sia dalla vittima.

Il computer vittima non aspetta un segnale SYN-ACK, quindi restituisce un segnale RST.

Il server restituisce un segnale RST-ACK (confermando la ricezione dell'RST e inviando il proprio) che viene
ricevuto dall'ombra e dalla vittima.

L'ombra non aspetta il segnale RST-ACK, ma agisce di conseguenza e termina la connessione.
Cosa fare?? (Reti Cablate)
IPSec

IPsec non impedisce a un intruso di ottenere un indirizzo IP o di comunicare
attraverso la LAN (è però sufficiente disabilitare la porta dello switch
corrispondente a un utente che tenta di sferrare un attacco) ma è
impossibilitato ad accedere alle risorse di una LAN

isolamento dei domini: miglioramenti nell'isolamento dei client e nella
verifica dello stato di salute dell'infrastruttura.

nuove tecnologie NAP (Network Access Protection)
Cosa fare?? (Reti Wireless)
802.1x
USO per reti wireless, poiché la combinazione di 802.1X ed EAP crea sessioni
autenticate reciprocamente con chiavi di crittografia assegnate a ciascun
richiedente (ciò viene detto "WEP dinamico").
Grazie della Vostra attenzione