IEEE 802.1x

Da Wikipedia, l'enciclopedia libera.

IEEE 802.1x è uno standard IEEE basato sul controllo delle porte di accesso alla rete LAN e MAN. Fa parte dell'insieme di standard IEEE 802. Questo standard provvede ad autenticare e autorizzare i dispositivi collegati alle porte della rete (switch e access point) stabilendo un collegamento punto a punto e prevenendo collegamenti non autorizzati alla rete locale. Viene utilizzato dalle reti locali wireless per gestire le connessioni agli access point e si basa sul protocollo EAP, Extensible Authentication Protocol, (RFC 2284).

L'802.1x è oramai supportato dalla maggioranza dei nuovi switch e può effettuare l'autenticazione in congiunzione con un programma installato sul computer, supplicant, eliminando la possibilità di un accesso non autorizzato tramite collegamento al livello fisico della rete.

Molti produttori stanno implementando il protocollo 802.1x negli access point wireless per risolvere le insicurezze del WEP (vedi 802.11i). Normalmente, l'autenticazione è fatta da una terza parte, come un server RADIUS. Questo fornisce l'autenticazione del client o l'autenticazione forte mutua.

Definizioni[modifica | modifica sorgente]

  • Supplicant, il client che richiede di essere autenticato
  • Authenticator, il dispositivo che esegue l'inoltro della richiesta di accesso
  • Authentication Server, il dispositivo che effettua il controllo sulle credenziali di accesso del supplicant ed autorizza l'accesso

Dettagli di funzionamento[modifica | modifica sorgente]

Lo standard 802.1x non definisce un metodo preciso ma uno schema architetturale nel quale possono essere usate varie metodologie, per questo una delle sue caratteristiche fondamentali è la versatilità. Fin dalla sua ratifica, 802.1x è divenuto il framework di autenticazione delle wireless LAN. La sua rapida diffusione è dipesa, in larga parte, dalla disponibilità di standard già consolidati, principalmente EAP (Extensible Authentication Protocol). Il controllo degli accessi alla rete basato sulle porte fa uso delle caratteristiche di accesso fisico alle infrastrutture LAN basate sugli standard IEEE 802, allo scopo di fornire autenticazione e autorizzazione tramite dispositivi connessi a una porta della LAN che abbia caratteristiche di connessione punto-punto, e prevenzione dell’accesso a tale porta nel caso in cui autenticazione ed autorizzazione falliscano. Una porta, in questo contesto, è un singolo punto di accesso all’infrastruttura della LAN. La specifica 802.1x definisce il passaggio dell’autenticazione tra il client wireless (supplicant), un access point wireless (autenticatore) e un RADIUS (Remote Authentication Dial-In User Service) server (server di autenticazione). In pratica, il client wireless viene autenticato dal server RADIUS, e l’access point gioca un ruolo di intermediario.

1.Quando un nuovo nodo wireless (WN) richiede l’accesso alle risorse di una LAN, l’access point (AP) ne richiede l’identità. Nessun altro tipo di traffico è consentito oltre a EAP, prima che il nodo sia autenticato (la “porta” è chiusa). Il nodo wireless che richiede l’autenticazione è spesso denominato supplicant, tuttavia sarebbe più corretto dire che esso contiene un supplicant. Il supplicant ha il compito di fornire risposte all’autenticatore che ne verificherà le credenziali. Lo stesso vale per l’access point; l’autenticatore non è l’access point. Invece, l’access point contiene un autenticatore. L’autenticatore non deve necessariamente trovarsi all’interno dell’access point; può essere un componente esterno. EAP, che è il protocollo utilizzato per l’autenticazione, fu usato inizialmente per il dial-up PPP. L’identità era lo username, ed era utilizzata l’autenticazione PAP o CHAP per verificare la password dell’utente. Poiché l’identità è inviata in chiaro, uno sniffer malintenzionato può venirne facilmente a conoscenza. Si utilizza quindi un mascheramento dell’identità, che non viene inviata finché non sia instaurato un tunnel TLS crittato.

2.Dopo l’invio dell’identità, comincia il processo di autenticazione. Il protocollo utilizzato tra il supplicant e l’autenticatore è EAP, o, più correttamente, EAP incapsulato su LAN (EAPOL). L’autenticatore re-incapsula i messaggi EAP in formato RADIUS, e li passa al server di autenticazione. Durante l’autenticazione, l’autenticatore semplicemente ritarda i pacchetti tra il supplicant e il server di autenticazione. Quando il processo di autenticazione si conclude, il server di autenticazione invia un messaggio di successo (o di fallimento, se l’autenticazione fallisce). L’autenticatore quindi apre la “porta” al supplicant.

3.Dopo un’autenticazione andata a buon fine, viene garantito al supplicant l’accesso alle altre risorse della LAN e/o ad Internet.

Perché viene chiamata autenticazione basata sulle porte? L’autenticatore ha a che fare con porte controllate e non controllate. Entrambi i tipi di porta sono entità logiche (porte virtuali), ma utilizzano la medesima connessione fisica alla LAN. Prima dell’autenticazione, è aperta soltanto la porta non controllata. L’unico traffico consentito è EAPOL. Dopo che il supplicant è stato autenticato, viene aperta la porta controllata, e garantito l’accesso alle risorse. 802.1x non fornisce dunque alcuna autenticazione; tutto ciò che fa è dare all’access point la capacità di inoltrare le credenziali del client al server RADIUS e la relativa risposta verso il client stesso. Questa funzionalità trova compimento implementando i protocolli RADIUS e EAP.

Collegamenti esterni[modifica | modifica sorgente]