IEEE802.1X

Estándar IEEE para control de acceso a redes basado en puertos

IEEE 802.1X es un estándar IEEE para el control de acceso a redes basado en puertos (PNAC). Forma parte del grupo de protocolos de red IEEE 802.1 . Proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN .

La norma aborda directamente una técnica de ataque denominada Hardware Addition [1], en la que un atacante que se hace pasar por un huésped, cliente o miembro del personal introduce de contrabando un dispositivo de piratería en el edificio y lo conecta a la red, lo que le otorga acceso total. Un ejemplo notable de este problema ocurrió en 2005, cuando una máquina conectada a la red de Walmart pirateó miles de sus servidores. [2]

IEEE 802.1X define la encapsulación del Protocolo de autenticación extensible (EAP) sobre redes IEEE 802 cableadas [3] y sobre redes inalámbricas 802.11 [4] , lo que se conoce como "EAP sobre LAN" o EAPOL. [5] EAPOL se especificó originalmente para IEEE 802.3 Ethernet, IEEE 802.5 Token Ring y FDDI (ANSI X3T9.5/X3T12 e ISO 9314) en 802.1X-2001, [6] pero se amplió para adaptarse a otras tecnologías de LAN IEEE 802, como IEEE 802.11 inalámbrica en 802.1X-2004. [7] El EAPOL también se modificó para su uso con IEEE 802.1AE ("MACsec") e IEEE 802.1AR (Secure Device Identity, DevID) en 802.1X-2010 [8] [9] para admitir la identificación de servicio y el cifrado punto a punto opcional sobre el segmento LAN interno. 802.1X es parte de la subcapa de control de enlace lógico (LLC) del modelo de referencia 802. [10]

Descripción general

Los datos EAP se encapsulan primero en marcos EAPOL entre el solicitante y el autenticador, luego se vuelven a encapsular entre el autenticador y el servidor de autenticación mediante RADIUS o Diameter .

La autenticación 802.1X involucra a tres partes: un solicitante, un autenticador y un servidor de autenticación. El solicitante es un dispositivo cliente (como un portátil) que desea conectarse a la LAN/WLAN. El término "solicitante" también se utiliza indistintamente para referirse al software que se ejecuta en el cliente y que proporciona credenciales al autenticador. El autenticador es un dispositivo de red que proporciona un enlace de datos entre el cliente y la red y puede permitir o bloquear el tráfico de red entre los dos, como un conmutador Ethernet o un punto de acceso inalámbrico ; y el servidor de autenticación es típicamente un servidor de confianza que puede recibir y responder a solicitudes de acceso a la red, y puede indicar al autenticador si se debe permitir la conexión y varias configuraciones que deben aplicarse a la conexión o configuración de ese cliente. Los servidores de autenticación generalmente ejecutan software que admite los protocolos RADIUS y EAP . En algunos casos, el software del servidor de autenticación puede estar ejecutándose en el hardware del autenticador.

El autenticador actúa como un guardia de seguridad para una red protegida. El solicitante (es decir, el dispositivo cliente) no puede acceder a través del autenticador al lado protegido de la red hasta que su identidad haya sido validada y autorizada. Con la autenticación basada en puertos 802.1X, el solicitante debe proporcionar inicialmente las credenciales requeridas al autenticador (estas credenciales habrán sido especificadas de antemano por el administrador de la red y podrían incluir un nombre de usuario/contraseña o un certificado digital permitido ). El autenticador envía estas credenciales al servidor de autenticación para decidir si se concederá el acceso. Si el servidor de autenticación determina que las credenciales son válidas, informa al autenticador, que a su vez permite al solicitante (dispositivo cliente) acceder a los recursos ubicados en el lado protegido de la red. [11]

Operación del protocolo

EAPOL opera sobre la capa de enlace de datos y en el protocolo de trama Ethernet II tiene un valor EtherType de 0x888E.

Entidades portuarias

802.1X-2001 define dos entidades de puerto lógicas para un puerto autenticado: el "puerto controlado" y el "puerto no controlado". El puerto controlado es manipulado por la entidad de acceso al puerto (PAE) 802.1X para permitir (en el estado autorizado) o impedir (en el estado no autorizado) el ingreso y egreso de tráfico de red hacia/desde el puerto controlado. El puerto no controlado es utilizado por la PAE 802.1X para transmitir y recibir tramas EAPOL.

802.1X-2004 define las entidades de puerto equivalentes para el solicitante; por lo tanto, un solicitante que implemente 802.1X-2004 puede evitar que se utilicen protocolos de nivel superior si no está seguro de que la autenticación se haya completado correctamente. Esto es particularmente útil cuando se utiliza un método EAP que proporciona autenticación mutua , ya que el solicitante puede evitar la fuga de datos cuando se conecta a una red no autorizada.

Progresión típica de autenticación

El procedimiento de autenticación típico consiste en:

Diagrama de secuencia de la progresión 802.1X
  1. Inicialización Al detectar un nuevo solicitante, el puerto del conmutador (autenticador) se habilita y se establece en el estado "no autorizado". En este estado, solo se permite el tráfico 802.1X; se descarta otro tráfico, como el Protocolo de Internet (y con él TCP y UDP ).
  2. Inicio Para iniciar la autenticación, el autenticador transmitirá periódicamente tramas de Identidad de solicitud EAP a una dirección especial de Capa 2 (01:80:C2:00:00:03) en el segmento de red local. El solicitante escucha en esta dirección y, al recibir la trama de Identidad de solicitud EAP, responde con una trama de Identidad de respuesta EAP que contiene un identificador para el solicitante, como un ID de usuario. A continuación, el autenticador encapsula esta respuesta de identidad en un paquete de solicitud de acceso RADIUS y lo reenvía al servidor de autenticación. El solicitante también puede iniciar o reiniciar la autenticación enviando una trama de inicio EAPOL al autenticador, que luego responderá con una trama de Identidad de solicitud EAP.
  3. Negociación (técnicamente, negociación EAP) El servidor de autenticación envía una respuesta (encapsulada en un paquete de desafío de acceso RADIUS ) al autenticador, que contiene una solicitud EAP que especifica el método EAP (el tipo de autenticación basada en EAP que desea que el solicitante realice). El autenticador encapsula la solicitud EAP en una trama EAPOL y la transmite al solicitante. En este punto, el solicitante puede comenzar a utilizar el método EAP solicitado o realizar un NAK ("Reconocimiento negativo") y responder con los métodos EAP que está dispuesto a realizar.
  4. Autenticación Si el servidor de autenticación y el solicitante acuerdan un método EAP, las solicitudes y respuestas EAP se envían entre el solicitante y el servidor de autenticación (traducidas por el autenticador) hasta que el servidor de autenticación responde con un mensaje de éxito EAP (encapsulado en un paquete de aceptación de acceso RADIUS ) o un mensaje de error EAP (encapsulado en un paquete de rechazo de acceso RADIUS ). Si la autenticación es exitosa, el autenticador establece el puerto en el estado "autorizado" y se permite el tráfico normal; si no es exitosa, el puerto permanece en el estado "no autorizado". Cuando el solicitante cierra la sesión, envía un mensaje de cierre de sesión EAPOL al autenticador, que luego establece el puerto en el estado "no autorizado", bloqueando nuevamente todo el tráfico que no sea EAP.

Implementaciones

Un proyecto de código abierto llamado Open1X produce un cliente, Xsupplicant . Este cliente está disponible actualmente tanto para Linux como para Windows. Las principales desventajas del cliente Open1X son que no proporciona una documentación de usuario comprensible y extensa y que la mayoría de los proveedores de Linux no proporcionan un paquete para él. El wpa_supplicant más general se puede utilizar para redes inalámbricas 802.11 y redes cableadas. Ambos admiten una amplia gama de tipos de EAP. [12]

El iPhone y el iPod Touch son compatibles con 802.1X desde el lanzamiento de iOS 2.0. Android es compatible con 802.1X desde el lanzamiento de 1.6 Donut. ChromeOS es compatible con 802.1X desde mediados de 2011. [13]

macOS ofrece soporte nativo desde la versión 10.3 . [14]

Avenda Systems ofrece un suplicante para Windows , Linux y macOS . También tienen un complemento para el marco NAP de Microsoft. [15] Avenda también ofrece agentes de verificación de estado.

Ventanas

De manera predeterminada, Windows no responde a las solicitudes de autenticación 802.1X durante 20 minutos después de una autenticación fallida. Esto puede causar interrupciones significativas a los clientes.

El período de bloqueo se puede configurar mediante el valor DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc\BlockTime [16] (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc\BlockTime para redes inalámbricas) en el registro (introducido en minutos). Se requiere una revisión rápida para Windows XP SP3 y Windows Vista SP2 para que el período sea configurable. [17]

Los certificados de servidor comodín no son compatibles con EAPHost, el componente de Windows que proporciona compatibilidad con EAP en el sistema operativo. [18] Esto implica que, cuando se utiliza una autoridad de certificación comercial, se deben comprar certificados individuales.

Windows XP

Windows XP tiene problemas importantes con el manejo de los cambios de direcciones IP resultantes de la autenticación 802.1X basada en el usuario que cambia la VLAN y, por lo tanto, la subred de los clientes. [19] Microsoft ha declarado que no incorporará de forma retroactiva la función SSO de Vista que resuelve estos problemas. [20]

Si los usuarios no inician sesión con perfiles móviles, se debe descargar e instalar una revisión si se autentican a través de PEAP con PEAP-MSCHAPv2. [21]

Windows Vista

Es posible que las computadoras basadas en Windows Vista que estén conectadas a través de un teléfono IP no se autentiquen como se espera y, como resultado, el cliente puede ser ubicado en la VLAN incorrecta. Hay una revisión disponible para corregir esto. [22]

Ventanas 7

Es posible que las computadoras basadas en Windows 7 que estén conectadas a través de un teléfono IP no se autentiquen como se espera y, en consecuencia, el cliente puede ser ubicado en la VLAN incorrecta. Hay una revisión disponible para corregir esto. [22]

Windows 7 no responde a las solicitudes de autenticación 802.1X después de que falla la autenticación 802.1X inicial. Esto puede causar interrupciones significativas a los clientes. Hay una revisión disponible para corregir esto. [23]

Windows PE

Para la mayoría de las empresas que implementan y distribuyen sistemas operativos de forma remota, vale la pena señalar que Windows PE no tiene soporte nativo para 802.1X. Sin embargo, se puede agregar soporte a WinPE 2.1 [24] y WinPE 3.0 [25] a través de revisiones que están disponibles en Microsoft. Aunque todavía no está disponible la documentación completa, la documentación preliminar para el uso de estas revisiones está disponible a través de un blog de Microsoft. [26]

Linux

La mayoría de las distribuciones de Linux admiten 802.1X a través de wpa_supplicant e integración de escritorio como NetworkManager .

Dispositivos Apple

A partir de iOS 17 y macOS 14 , los dispositivos Apple admiten la conexión a redes 802.1X mediante EAP-TLS con TLS 1.3 (EAP-TLS 1.3). Además, los dispositivos que ejecutan iOS/iPadOS/tvOS 17 o posterior admiten redes 802.1X cableadas. [27] [28]

Federaciones

eduroam (el servicio de roaming internacional) exige el uso de autenticación 802.1X al brindar acceso a la red a invitados que vienen de otras instituciones habilitadas para eduroam. [29]

BT (British Telecom, PLC) utiliza la federación de identidad para la autenticación en servicios prestados a una amplia variedad de industrias y gobiernos. [30]

Extensiones propietarias

MAB (Omisión de autenticación MAC)

No todos los dispositivos admiten la autenticación 802.1X. Algunos ejemplos son las impresoras de red, los dispositivos electrónicos basados ​​en Ethernet, como sensores ambientales, cámaras y teléfonos inalámbricos. Para que estos dispositivos se utilicen en un entorno de red protegido, se deben proporcionar mecanismos alternativos para autenticarlos.

Una opción sería desactivar 802.1X en ese puerto, pero eso deja ese puerto desprotegido y abierto al abuso. Otra opción un poco más confiable es usar la opción MAB. Cuando se configura MAB en un puerto, ese puerto primero intentará verificar si el dispositivo conectado es compatible con 802.1X y, si no se recibe ninguna reacción del dispositivo conectado, intentará autenticarse con el servidor AAA utilizando la dirección MAC del dispositivo conectado como nombre de usuario y contraseña. El administrador de red luego debe tomar medidas en el servidor RADIUS para autenticar esas direcciones MAC, ya sea agregándolas como usuarios regulares o implementando lógica adicional para resolverlas en una base de datos de inventario de red.

Muchos conmutadores Ethernet administrados [31] ofrecen opciones para esto.

Vulnerabilidades en 802.1X-2001 y 802.1X-2004

Medios compartidos

En el verano de 2005, Steve Riley de Microsoft publicó un artículo (basado en la investigación original de Svyatoslav Pidgorny, MVP de Microsoft) que detallaba una vulnerabilidad grave en el protocolo 802.1X, que involucraba un ataque de intermediario . En resumen, la falla se origina en el hecho de que 802.1X autentica sólo al comienzo de la conexión, pero después de esa autenticación, es posible que un atacante use el puerto autenticado si tiene la capacidad de insertarse físicamente (quizás usando un concentrador de grupo de trabajo) entre la computadora autenticada y el puerto. Riley sugiere que para redes cableadas, el uso de IPsec o una combinación de IPsec y 802.1X sería más seguro. [32]

Los marcos EAPOL-Logoff transmitidos por el solicitante 802.1X se envían sin cifrar y no contienen datos derivados del intercambio de credenciales que autenticó inicialmente al cliente. [33] Por lo tanto, son muy fáciles de falsificar en medios compartidos y se pueden utilizar como parte de un ataque DoS dirigido tanto en redes LAN cableadas como inalámbricas. En un ataque EAPOL-Logoff, un tercero malintencionado, con acceso al medio al que está conectado el autenticador, envía repetidamente marcos EAPOL-Logoff falsificados desde la dirección MAC del dispositivo de destino. El autenticador (creyendo que el dispositivo de destino desea finalizar su sesión de autenticación) cierra la sesión de autenticación del objetivo, bloqueando el tráfico que ingresa desde el objetivo y negándole el acceso a la red.

La especificación 802.1X-2010, que comenzó como 802.1af, aborda vulnerabilidades en especificaciones 802.1X anteriores, al utilizar MACsec IEEE 802.1AE para cifrar datos entre puertos lógicos (que se ejecutan sobre un puerto físico) y dispositivos autenticados IEEE 802.1AR (Secure Device Identity / DevID). [8] [9] [34] [35]

Como medida provisional, hasta que estas mejoras se implementen ampliamente, algunos proveedores han ampliado el protocolo 802.1X-2001 y 802.1X-2004, lo que permite que se realicen varias sesiones de autenticación simultáneas en un solo puerto. Si bien esto evita que el tráfico de dispositivos con direcciones MAC no autenticadas ingrese en un puerto autenticado 802.1X, no impedirá que un dispositivo malicioso espíe el tráfico de un dispositivo autenticado y no brinda protección contra la suplantación de MAC o los ataques EAPOL-Logoff.

Alternativas

La alternativa respaldada por IETF es el Protocolo para Llevar Autenticación para Acceso a Redes (PANA), que también lleva EAP, aunque funciona en la capa 3, utilizando UDP, por lo que no está vinculado a la infraestructura 802. [36]

Véase también

Referencias

  1. ^ "Adiciones de hardware, técnica T1200". attack.mitre.org . 2018-04-18 . Consultado el 2024-04-10 .
  2. ^ Zetter, Kim. "Big-Box Breach: La historia interna del ataque de hackers a Wal-Mart". Wired . ISSN  1059-1028 . Consultado el 7 de febrero de 2024 .
  3. ^ "Uso de EAP dentro de IEEE 802". Protocolo de autenticación extensible (EAP). sec. 3.3. doi : 10.17487/RFC3748 . RFC 3748.
  4. ^ "Capa de enlace". Protocolo de autenticación extensible (EAP). sec. 7.12. doi : 10.17487/RFC3748 . RFC 3748.
  5. ^ IEEE 802.1X-2001, § 7
  6. ^ IEEE 802.1X-2001, § 7.1 y 7.2
  7. ^ IEEE 802.1X-2004, § 7.6.4
  8. ^ ab IEEE 802.1X-2010, página iv
  9. ^ según IEEE 802.1X-2010, § 5
  10. ^ Estándar IEEE para redes de área local y metropolitana: descripción general y arquitectura (informe técnico). IEEE . 2014. doi :10.1109/IEEESTD.2014.6847097. 802 . 802.1X forma parte de la subcapa LLC y proporciona un servicio seguro y sin conexión inmediatamente por encima de la subcapa MAC.
  11. ^ "Conceptos de autenticación basada en puertos 802.1X". Archivado desde el original el 14 de octubre de 2012. Consultado el 30 de julio de 2008 .
  12. ^ "eap_testing.txt de wpa_supplicant" . Consultado el 10 de febrero de 2010 .
  13. ^ Sheth, Rajen (10 de agosto de 2011). "La computadora que sigue mejorando". Blog oficial de Google Cloud . Consultado el 2 de julio de 2022 .
  14. ^ Negrino, Tom; Smith, Dori (2003). Mac OS X Unwired: una guía para el hogar, la oficina y la carretera. O'Reilly Media . p. 19. ISBN 978-0596005085. Consultado el 2 de julio de 2022 .
  15. ^ "Hay clientes NAP disponibles para Linux y Macintosh". Blog del equipo de Protección de acceso a redes (NAP) . 16 de diciembre de 2008.
  16. ^ "¿20 minutos de retraso en la implementación de Windows 7 en 802.1x? ¡Arréglenlo aquí!". Amigo, ¿dónde está mi PFE? blog . 2013-01-24.
  17. ^ "Una computadora con Windows XP, Windows Vista o Windows Server 2008 no responde a las solicitudes de autenticación 802.1X durante 20 minutos después de una autenticación fallida". Soporte técnico de Microsoft . 2009-09-17 . Consultado el 2022-07-03 .
  18. ^ "EAPHost en Windows Vista y Longhorn (18 de enero de 2006)". Microsoft Docs . 2007-01-18 . Consultado el 2022-07-03 .
  19. ^ "Tiene problemas al intentar obtener objetos de directiva de grupo, perfiles móviles y scripts de inicio de sesión desde un controlador de dominio basado en Windows Server 2003". Soporte técnico de Microsoft . 14 de septiembre de 2007. Archivado desde el original el 22 de abril de 2008. Consultado el 10 de febrero de 2010 .
  20. ^ "802.1x con conmutación dinámica de VLAN: problemas con los perfiles móviles". Foros de Microsoft TechNet . Archivado desde el original el 24 de agosto de 2011. Consultado el 10 de febrero de 2010. Con Vista, esto no es un problema en absoluto con la función SSO, sin embargo, esta función no existe en XP y, lamentablemente, no tenemos planes de implementar esta función en XP, ya que es un cambio demasiado complejo.
  21. ^ "Un equipo cliente basado en Windows XP Service Pack 3 no puede utilizar la autenticación IEEE 802.1X cuando se utiliza PEAP con PEAP-MSCHAPv2 en un dominio". Soporte técnico de Microsoft . 23 de abril de 2009. Archivado desde el original el 16 de marzo de 2010. Consultado el 23 de marzo de 2010 .
  22. ^ ab "Una computadora que está conectada a una red autenticada IEEE 802.1X a través de un teléfono VOIP no se conecta a la red correcta después de que la reanuda desde el modo de hibernación o suspensión". Soporte técnico de Microsoft . 2010-02-08 . Consultado el 2022-07-03 .
  23. ^ "No hay respuesta a las solicitudes de autenticación 802.1X después de que la autenticación falla en un equipo que ejecuta Windows 7 o Windows Server 2008 R2". Soporte técnico de Microsoft . 8 de marzo de 2010. Archivado desde el original el 14 de noviembre de 2010. Consultado el 23 de marzo de 2010 .
  24. ^ "Windows PE 2.1 no es compatible con el protocolo de autenticación IEEE 802.1X". Soporte técnico de Microsoft . 8 de diciembre de 2009. Archivado desde el original el 5 de marzo de 2010. Consultado el 10 de febrero de 2010 .
  25. ^ "El protocolo de autenticación IEEE 802.1X no es compatible con Windows Preinstall Environment (PE) 3.0". Soporte técnico de Microsoft . 2009-12-08 . Consultado el 2022-07-03 .
  26. ^ "Añadir compatibilidad con 802.1X a WinPE". El blog de Deployment Guys . 2 de marzo de 2010. Archivado desde el original el 17 de junio de 2011. Consultado el 3 de marzo de 2010 .
  27. ^ "Notas de la versión para desarrolladores de iOS 17 beta 4". Apple Developer . 2023-07-25 . Consultado el 2023-07-25 .
  28. ^ "notas de la versión para desarrolladores de la versión beta 4 de macOS 14". Apple Developer . 2023-07-25 . Consultado el 2023-07-25 .
  29. ^ "¿Cómo funciona eduroam?". eduroam . Consultado el 3 de julio de 2022 .
  30. ^ "Gestión de identidad y acceso de BT" (PDF) . Archivado desde el original (PDF) el 2011-06-13 . Consultado el 2010-08-17 .
  31. ^ "Guía de la CLI de Dell PowerConnect serie 6200" (PDF) . p. 622, Revisión: A06-marzo de 2011. Archivado desde el original (PDF) el 2012-11-18 . Consultado el 26 de enero de 2013 .
  32. ^ Riley, Steve (9 de agosto de 2005). "Mitigación de las amenazas de las máquinas maliciosas: ¿802.1X o IPsec?". Microsoft Docs . Consultado el 3 de julio de 2022 .
  33. ^ IEEE 802.1X-2001, § 7.1
  34. ^ "Aprobaciones de consideración temprana del 2 de febrero de 2010". IEEE . Archivado desde el original el 2010-07-06 . Consultado el 2010-02-10 .
  35. ^ "IEEE 802.1: 802.1X-2010 - Revisión de 802.1X-2004". Ieee802.org. 21 de enero de 2010. Archivado desde el original el 4 de marzo de 2010. Consultado el 10 de febrero de 2010 .
  36. ^ Philip Golden; Hervé Dedieu; Krista S. Jacobsen (2007). Implementación y aplicaciones de la tecnología DSL. Taylor & Francis. págs. 483–484. ISBN 978-1-4200-1307-8.
  • Página IEEE sobre 802.1X
  • Descargar GetIEEE802 802.1X-2020
  • Descargar GetIEEE802 802.1X-2010
  • Descargar GetIEEE802 802.1X-2004
  • Descargar GetIEEE802 802.1X-2001
  • Guía definitiva sobre seguridad inalámbrica: certificados autofirmados para su servidor RADIUS
  • WIRE1x Archivado el 22 de agosto de 2015 en Wayback Machine
  • Redes cableadas con autenticación 802.1X en Microsoft TechNet
Obtenido de "https://es.wikipedia.org/w/index.php?title=IEEE_802.1X&oldid=1250244838"