IEEE 802.1x (Port Based Network Access Control)

IEEE 802.1x

standard IEEE basato sul controllo delle porte di accesso alla rete LAN e MAN.

collegamento punto a punto utilizzato dalle reti locali wireless per gestire le connessioni agli

access point

si basa sul protocollo EAP, Extensible Authentication Protocol

OBIETTIVO: risolvere le insicurezze del WEP

802.1x: attori coinvolti

Supplicant, il client che richiede di essere autenticato

Authenticator, il dispositivo che esegue l'inoltro della richiesta di accesso

Authentication Server, il dispositivo che effettua il controllo sulle credenziali di accesso del supplicant ed autorizza l'accesso (un server RADIUS )

Di cosa c’è bisogno?

un'infrastruttura di supporto, in particolare di client che supportino 802.1X

switch LAN e access point wireless che possano utilizzare 802.1X

un server RADIUS e un database di account (come Active Directory).

Configurazione server RADIUS

RADIUS

RADIUS (Remote Access Dial-In User Service) protocollo AAA (authentication, authorization, accounting) utilizzato in

applicazioni di accesso alle reti o di mobilità IP.

RADIUS è attualmente lo standard de-facto per l’autenticazione remota, prevalendo sia nei sistemi nuovi che in quelli già esistenti.

RADIUS: aspetti fondamentali

RADIUS è un protocollo ampiamente utilizzato negli ambienti distribuiti. (router, server modem, switch ecc.)

Gestione di sistemi integrati con un gran numero di utenti con informazioni di autenticazione distinte

RADIUS facilita l’amministrazione utente centralizzata, (gestione operazioni di migliaia di utenti)

amministrazione centralizzata requisito operativo.

RADIUS: aspetti fondamentali(2)

RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli di autenticazione remota offrono una protezione intermittente, inadeguata o addirittura inesistente.

Un supporto RADIUS è supportato da parte dei fornitori di hardware uniformemente.

Difetto UDP

Configurazione RADIUS

IAS

Certificate Service

Server Web (Apache o IIS)

Configurazione AP

Configurazione tipologia crittografia

Configurazione password o certificati

Configurazione indirizzi IP

Configurazione client

Configurazione metodo crittografia

Configurazione metodo autenticazione (MD5,PEAP)

Configurazione settaggi della connessione wireless

Funzionamento

Richiesta accesso nodo wireless (WN) alle risorse di una LAN (supplicant del nodo wireless)

L’access point (AP) ne richiede l’identità. Nessun altro tipo di traffico è consentito oltre a EAP(EAPOL).

Il supplicant fornisce le risposte all’autenticatore (si dice che invia la propria identità) che ne verificherà le credenziali.

Funzionamento (2)

L’autenticatore re-incapsula i messaggi EAP(formato EAPOL) in formato RADIUS, e li passa al server di autenticazione.

Il server RADIUS interpreta la richiesta RADIUS confrontando l’identità del richiedente con i clients abilitati residenti nel DB.

il server di autenticazione invia un messaggio di successo (o di fallimento, se l’autenticazione fallisce). L’autenticatore quindi apre la “porta” al supplicant

Dopo un’autenticazione andata a buon fine, viene garantito al supplicant l’accesso alle altre risorse della LAN e/o ad Internet.

Considerazioni

802.1x non fornisce dunque alcuna autenticazione;

dare all’access point la capacità di inoltrare le credenziali del client al server RADIUS e la relativa risposta verso il client stesso.

funzionalità trova compimento implementando i protocolli RADIUS e EAP.

EAP

protocollo utilizzato inizialmente per dial-up PPP.

L’identità era l’ username, ed era utilizzata l’autenticazione PAP o CHAP per verificare la password dell’utente.

Poiché l’identità è inviata in chiaro, uno sniffer malintenzionato può venirne

facilmente a conoscenza. Dopo l’autenticazione si ha un tunnel TLS crittato.

Tipologie EAP: MD5

EAP-MD5

MD5 (=CHAP) algoritmo hash a senso unico utilizzato in combinazione con un segreto condiviso e una richiesta di identificazione .

basso livello di sicurezza

PUNTI DEBOLI: ottenere la richiesta e la risposta hash tramite sniffing vulnerabile agli attacchi basati su dizionario.

Tipologie EAP: TLS

EAP-TLS. sessione TLS (Transport Layer Security) Invio, autenticazione e convalida reciproca del certificato digitale tra il

richiedente (certificato server) e il server autenticazione (certificato client)

MIGLIORAMENTI: Maggiore sicurezza (rispetto all’MD5)

Tipologie EAP: PEAP

PEAP (Protected EAP). PEAP avvia la procedura come EAP: sessione TLS con il richiedente Invio (solo da parte del server) dell proprio certificato digitale per la

convalida. l'autenticazione del richiedente (in Windows MS-CHAPv2) tramite

account tradizionali (ID e password dell'utente o del computer).

PEAP-EAP-TLS configurabile. instaura due sessioni TLS completamente separate

Metodo Chiave dinamica Mutua autenticazione ID e pw Metodi di attacco Commenti

MD5 No No Sì

Attacco basato su dizionario

Man in the middle Dirottamento di sessi

one

Facile da implementare Supportato su molti server Insicuro Richiede database con testo in

chiaro

TLS Sì Sì No Offre un'elevata sicurezza

Richiede certificati del client Innalza i costi di manutenzione Autenticazione a due fattori

con smart-card

SRP Sì Sì SìAttacco basato su

dizionario

Assenza di certificati Attacco su dizionario per le

credenziali Diritti di proprietà intellettuale

LEAP Sì Sì SìAttacco basato su

dizionario

Soluzione proprietaria Gli access point devono

supportarlo

MetodoChiave

dinamicaMutua autenticazione ID e pw Metodi di attacco Commenti

SIM Sì Sì No Vulnerabile allo spoofing Infrastruttura basata sul

roaming GSM Autenticazione a due fattori

AKA Sì Sì NoElevata sicurezza per ambienti

cellulari

Infrastruttura basata sul roaming GSM

Autenticazione a due fattori

SecurID No No No Man-in-the-middle Dirottamento di sessione

Richiede autenticazione sotto tunnel

Autenticazione a due fattori

TTLS Sì Sì No Elevata sicurezza

Creazione di un tunnel TLS (SSL) sicuro

Supporta i tradizionali metodi di autenticazione: PAP, CHAP, MS-CHAP, MS-CHAP V2

L'identità dell'utente è protetta (crittata)

PEAP Sì Sì Si Elevata sicurezza

Simile all'EAP-TTLS Creazione di un tunnel TLS]

(SSL) sicuro L'identità dell'utente è

protetta (crittata)

802.1x reti cablate

infrastruttura adeguatamente aggiornata. (supporto 802.1X per switch e router)

Ogni switch richiede un certificato digitale che presenta durante l'autenticazione rispetto ai client. (soluzione costosacertificazione aziendale Windowsaffidabilità interna)

client stack IP che supporti 802.1X.

Insufficienza nelle reti cablate

802.1X è la base ideale per la protezione wireless

Problemi reti cablate:

Problema autenticazione della sola macchina con PEAP scadenza validità password per utente Impossibilità accesso al dominio scambio dei messaggi tra due DLL coinvolte nell'autenticazione non avviene

correttamente

impiego di dispositivi che non utilizzano questo standard

Insufficienza nelle reti cablate (2)

scarsa gestibilità: nei criteri di gruppo AD, vi sono diversi oggetti Criteri di

gruppo che consentono di gestire 802.1X nelle reti wireless ma non le interfacce cablate.

il protocollo esegue l'autenticazione solo quando viene effettuato il

collegamento. Il traffico successivo non viene e un’eventuale intruso può connettersi alle

risorse appartenenti alla rete protetta.

Insufficienza reti cablate (3)Possibile intrusione

Possibile intrusione

ICMP o UDP (ping ai computer della rete e ricevere un'autorizzazione DHCP--lo stesso indirizzo IP

della vittima). no TCP(reimpostazione della connessione dovuta alle continue rigenerazioni di ACK e

SYN)

Il computer ombra invia un pacchetto SYN a un server della rete protetta.

Il server restituisce il SYN-ACK, che viene ricevuto sia dall'ombra, sia dalla vittima.

Il computer vittima non aspetta un segnale SYN-ACK, quindi restituisce un segnale RST.

Il server restituisce un segnale RST-ACK (confermando la ricezione dell'RST e inviando il proprio) che viene ricevuto dall'ombra e dalla vittima.

L'ombra non aspetta il segnale RST-ACK, ma agisce di conseguenza e termina la connessione.

Cosa fare?? (Reti Cablate)

IPSec

IPsec non impedisce a un intruso di ottenere un indirizzo IP o di comunicare attraverso la LAN (è però sufficiente disabilitare la porta dello switch corrispondente a un utente che tenta di sferrare un attacco) ma è impossibilitato ad accedere alle risorse di una LAN

isolamento dei domini: miglioramenti nell'isolamento dei client e nella verifica dello stato di salute dell'infrastruttura.

nuove tecnologie NAP (Network Access Protection)

Cosa fare?? (Reti Wireless)

802.1x

USO per reti wireless, poiché la combinazione di 802.1X ed EAP crea sessioni autenticate reciprocamente con chiavi di crittografia assegnate a ciascun

richiedente (ciò viene detto "WEP dinamico").

Grazie della Vostra attenzione