802.1X: O que EXATAMENTE é sobre WPA e EAP?

19

Entendo o 802.1X como um tipo de controle de autenticação de porta. No entanto, quando eu estava verificando as configurações de criptografia do meu wireless, encontrei o 802.1X em uma lista suspensa junto com o WPA2, WPA e WEP, mas não vejo como isso pode ser uma alternativa para eles.

Alguém poderia explicar em termos leigos como o 802.1X se encaixa, talvez também relacionado ao protocolo EAP? Tudo o que sei é que o 802.1X fornece duas entidades de porta lógica para cada porta física, uma delas é para autenticação e acho que a outra é para que as mensagens EAP reais fluam?

Jason
fonte

Respostas:

38

O mais próximo que posso fazer dos termos do leigo, um pouco simplificado e limitado a apenas WPA2 por uma questão de simplicidade:

802.1X NÃO é um tipo de criptografia. É basicamente apenas um mecanismo de autenticação por usuário (por exemplo, nome de usuário e senha).

O WPA2 é um esquema de segurança que especifica dois aspectos principais da sua segurança sem fio:

  • Autenticação: sua escolha de PSK ("Pessoal") ou 802.1X ("Empresa").
  • Criptografia: sempre AES-CCMP.

Se você estiver usando a segurança WPA2 em sua rede, terá duas opções de autenticação: ou você precisará usar uma única senha para toda a rede que todos conhecem (isso é chamado de chave pré-compartilhada ou PSK) ou usar o 802.1X para forçar cada usuário a usar suas próprias credenciais de login exclusivas (por exemplo, nome de usuário e senha).

Independentemente do tipo de autenticação que você configurou sua rede para usar, o WPA2 sempre usa um esquema chamado AES-CCMP para criptografar seus dados sem fio por uma questão de confidencialidade e impedir vários outros tipos de ataques.

802.1X é "EAP sobre LANs" ou EAPoL. EAP significa "Protocolo de autenticação extensível", o que significa que é uma espécie de esquema de plug-in para vários métodos de autenticação. Alguns exemplos:

  • Deseja autenticar seus usuários com nomes de usuário e senhas? Então "PEAP" é um bom tipo de EAP para usar.
  • Deseja autenticar seus usuários por meio de certificados? Então "EAP-TLS" é um bom tipo de EAP para usar.
  • Os dispositivos da sua rede são todos smartphones GSM com cartões SIM? Depois, você pode usar o "EAP-SIM" para fazer a autenticação no estilo do cartão SIM GSM e entrar na sua rede. etc etc.

Se você configurar seu roteador sem fio para usar o 802.1X, ele precisará ter uma maneira de autenticar seus usuários por meio de algum tipo de EAP. Alguns roteadores podem ter a capacidade de você inserir uma lista de nomes de usuário e senhas diretamente no roteador, e o roteador sabe como fazer toda a autenticação sozinho. Mas a maioria provavelmente exigirá que você configure o RADIUS. O RADIUS é um protocolo que permite manter seu banco de dados de nome de usuário e senha em um servidor central, para que você não precise fazer alterações em cada roteador sem fio separado sempre que adicionar ou excluir um usuário ou um usuário alterar sua senha ou algo assim. Os roteadores sem fio que executam o 802.1X geralmente não sabem como autenticar os usuários diretamente, eles apenas sabem como fazer o gateway entre o 802.1X e o RADIUS para que as máquinas clientes sem fio sejam realmente autenticadas por um servidor RADIUS na rede,

Se a interface do usuário do roteador sem fio tiver "802.1X" em uma lista de tipos de criptografia , provavelmente significa "802.1X com WEP dinâmico", que é um esquema antigo em que o 802.1X é usado para autenticação e por usuário por sessão As chaves WEP são geradas dinamicamente como parte do processo de autenticação e, portanto, o WEP é o método de criptografia usado.

Atualização re: duas portas lógicas

Para responder à sua pergunta sobre duas entidades de porta lógica, existem dois conceitos separados na especificação 802.1X a que você pode estar se referindo.

Primeiro, a especificação 802.1X define funções de cliente e servidor para o protocolo 802.1X, mas as chama de suplicante e autenticador, respectivamente. No cliente sem fio ou no roteador sem fio, você tem um software que desempenha a função de suplicante ou autenticador 802.1X. Este software que executa essa função é chamado de Port Access Entity ou PAE pela especificação.

Segundo, as especificações mencionam que, dentro, digamos, da sua máquina cliente sem fio, deve haver uma maneira de o software 802.1X Supplicant acessar sua interface sem fio para enviar e receber pacotes EAP para realizar autenticação, mesmo quando nenhum outro software de rede estiver ativado. seu sistema ainda pode usar a interface sem fio (porque a interface de rede não é confiável até que seja autenticada). Portanto, no estranho juridico de engenharia dos documentos de especificações do IEEE, ele diz que há uma "porta não controlada" lógica que o software cliente 802.1X conecta e uma "porta controlada" que o restante da pilha de rede conecta. Quando você tenta conectar-se a uma rede 802.1X pela primeira vez, somente a porta não controlada é ativada enquanto o cliente 802.1X faz o seu trabalho. Depois que a conexão for autenticada (e, por exemplo,

Resposta longa, não tanto em termos leigos: o
IEEE 802.1X é uma maneira de realizar autenticação por usuário ou por dispositivo para LANs Ethernet com ou sem fio (e potencialmente outros esquemas de rede na família IEEE 802). Ele foi originalmente projetado e implantado para redes Ethernet com fio e posteriormente foi adotado pelo grupo de trabalho IEEE 802.11 (LAN sem fio), como parte do adendo de segurança 802.11i ao 802.11, para servir como método de autenticação por usuário ou por dispositivo para redes 802.11.

Quando você usa a autenticação 802.1X na sua rede WPA ou WPA2, ainda usa as cifras de confidencialidade da WPA ou WPA2 e os algoritmos de integridade de mensagens. Ou seja, no caso do WPA, você ainda está usando o TKIP como sua cifra de confidencialidade e o Michael como sua verificação de integridade da mensagem. No caso do WPA2, você está usando o AES-CCMP, que é uma cifra de confidencialidade e também uma verificação de integridade da mensagem.

A diferença quando você usa o 802.1X é que não está mais usando uma chave pré-compartilhada (PSK) em toda a rede. Como você não está usando um único PSK para todos os dispositivos, o tráfego de cada dispositivo é mais seguro. Com o PSK, se você conhece o PSK e captura o handshake principal quando um dispositivo entra na rede, é possível descriptografar todo o tráfego desse dispositivo. Porém, com o 802.1X, o processo de autenticação gera com segurança o material de codificação usado para criar uma PMK (Pairwise Master Key) exclusiva para a conexão, portanto, não há como um usuário descriptografar o tráfego de outro usuário.

O 802.1X é baseado no EAP, o protocolo de autenticação extensível originalmente desenvolvido para PPP, e ainda é amplamente utilizado em soluções VPN que usam o PPP dentro do túnel criptografado (LT2P-sobre-IPSec, PPTP etc.). De fato, o 802.1X é geralmente chamado de "EAP sobre LANs" ou "EAPoL".

O EAP fornece um mecanismo genérico para transportar mensagens de autenticação (solicitações de autenticação, desafios, respostas, notificações de sucesso etc.) sem que a camada EAP precise conhecer os detalhes do método de autenticação específico que está sendo usado. Existem vários "tipos de EAP" (mecanismos de autenticação projetados para conectar-se ao EAP) para autenticação através de nome de usuário e senha, certificados, cartões de token e muito mais.

Por causa da história do EAP com PPP e VPN, ele sempre foi facilmente acessado pelo RADIUS. Por esse motivo, é típico (mas não é tecnicamente necessário) que os APs 802.11 que suportam 802.1X contenham um cliente RADIUS. Assim, os APs normalmente não sabem o nome de usuário ou a senha de ninguém ou mesmo como processar vários tipos de autenticação EAP, eles apenas sabem como receber uma mensagem EAP genérica do 802.1X e transformá-la em uma mensagem RADIUS e encaminhá-la para o servidor RADIUS . Portanto, o ponto de acesso é apenas um canal para a autenticação, e não faz parte dela. Os pontos finais reais da autenticação geralmente são o cliente sem fio e o servidor RADIUS (ou algum servidor de autenticação upstream para o qual o servidor RADIUS é gateways).

Mais histórico do que você gostaria de saber: Quando o 802.11 foi criado, o único método de autenticação suportado era uma forma de autenticação de chave compartilhada usando chaves WEP de 40 ou 104 bits, e o WEP estava limitado a 4 chaves por rede. Todos os usuários ou dispositivos conectados à sua rede precisavam conhecer uma das 4 teclas de atalho da rede para poder acessar. No padrão, não havia como autenticar cada usuário ou dispositivo separadamente. Além disso, a maneira como a autenticação de chave compartilhada foi realizada permitiu ataques fáceis de adivinhação de chave com força bruta "oracle offline".

Muitos fornecedores de equipamentos 802.11 de classe empresarial perceberam que a autenticação por usuário (por exemplo, nome de usuário e senha ou certificado de usuário) ou por dispositivo (certificado de máquina) era necessária para tornar o 802.11 um sucesso no mercado corporativo. Embora o 802.1X ainda não tivesse sido concluído, a Cisco adotou uma versão preliminar do 802.1X, limitou-a a um tipo EAP (uma forma de EAP-MSCHAPv2), fez gerar chaves WEP dinâmicas por sessão por dispositivo e criou o que eles chamaram de "EAP leve" ou LEAP. Outros fornecedores fizeram coisas semelhantes, mas com nomes desajeitados como "802.1X com WEP dinâmico".

A Wi-Fi Alliance (ou seja, a Wireless Ethernet Compatibility Alliance, ou "WECA") viu o WEP merecidamente ruim estar recebendo e viu a fragmentação do esquema de segurança acontecendo no setor, mas não podia esperar o término do grupo de trabalho IEEE 802.11 adotando o 802.1X no 802.11i, a Wi-Fi Alliance criou o Wi-Fi Protected Access (WPA) para definir um padrão interoperável de fornecedor cruzado para corrigir as falhas no WEP como uma cifra de confidencialidade (criando o TKIP para substituí-lo), as falhas na autenticação de chave compartilhada baseada em WEP (criando o WPA-PSK para substituí-lo) e para fornecer uma maneira de usar o 802.1X para autenticação por usuário ou por dispositivo.

Em seguida, o grupo de tarefas IEEE 802.11i terminou seu trabalho, escolhendo AES-CCMP como a cifra de confidencialidade do futuro e adotando o 802.1X, com certas restrições para mantê-lo seguro em redes sem fio, para autenticação por usuário e por dispositivo para 802.11 LANs sem fio. Por sua vez, a Wi-Fi Alliance criou o WPA2 para certificar a interoperabilidade entre implementações 802.11i. (A Wi-Fi Alliance é realmente uma organização de certificação e marketing de interoperabilidade, e geralmente prefere deixar o IEEE como o verdadeiro organismo de padrões de WLAN. Mas, se o IEEE é muito limitado e não está se movendo rápido o suficiente para a indústria, o Wi- A Fi Alliance entrará em ação e executará um trabalho semelhante ao padrão do corpo antes do IEEE e, geralmente, depois adiará para o padrão IEEE relacionado assim que sair mais tarde.)

Spiff
fonte
Ei spiff, você poderia apenas ligar a parte que li sobre o 802.1x, criando duas portas lógicas, com sua resposta de leigo? Obrigado
Jason
3
@ Jason Ok, atualizado. A propósito, o 802.1X é uma especificação independente (não um adendo a outra especificação); portanto, nas convenções de nomenclatura IEEE, ela recebe uma letra maiúscula. Portanto, é 802.1X, não 802.1x. Sempre que vir uma documentação ou um artigo que entenda errado, considere-o como um sinal de negligência e desatenção aos detalhes e deixe que isso influencie quanta fé você deposita nessa documentação ou artigo.
Spiff
Portanto, WPA2 / Enterprise é criptografia AES e 802.1X é criptografia WEP. Mesmo que os dois usem o 802.1X para autenticação. Muito bem documentado, com um pouco de história por trás de tudo. Obrigado @Spiff, gostaria de poder votar duas vezes.
Brain2000
@ Brain2000. Cuidado, sua correção simplificada é muito enganadora. Pode ser verdade que alguns APs tenham interfaces de usuário ruins que digam enganosamente apenas "802.1X" quando o que realmente significam é "802.1X com WEP dinâmico". Mas o 802.1X é um protocolo de autenticação extensível para LANs que não é específico ao 802.11, muito menos ao WEP.
Spiff
@ Spiff Você está certo, é uma UI de baixa qualidade que mostra "WPA2 / Enterprise" e "802.1X" no mesmo menu suspenso. Afinal, esse é o tópico de toda essa pergunta. Então, sim, acho que o que escrevi é exatamente o que pretendia escrever. Não é uma simplificação excessiva. É uma interface de baixa qualidade, como você diz.
precisa saber é o seguinte