802.1X: ¿Qué es EXACTAMENTE con respecto a WPA y EAP?

19

Entiendo que 802.1X es algún tipo de control de autenticación de puerto. Sin embargo, cuando estaba revisando la configuración de cifrado de mi conexión inalámbrica, encontré 802.1X en un menú desplegable junto con WPA2, WPA y WEP, pero no veo cómo puede ser una alternativa para estos.

¿Podría alguien explicar en términos sencillos cómo encaja 802.1X, quizás también en relación con el protocolo EAP? Todo lo que sé es que 802.1X proporciona dos entidades de puerto lógico para cada puerto físico, una de ellas es para autenticación y creo que la otra es para que fluyan los mensajes EAP reales.

Jason
fuente

Respuestas:

38

Lo más cercano que puedo hacer a los términos simples, ligeramente simplificado y limitado a solo WPA2 por simplicidad:

802.1X NO es un tipo de cifrado. Básicamente es solo un mecanismo de autenticación por usuario (por ejemplo, nombre de usuario y contraseña).

WPA2 es un esquema de seguridad que especifica dos aspectos principales de su seguridad inalámbrica:

  • Autenticación: su elección de PSK ("Personal") o 802.1X ("Enterprise").
  • Cifrado: siempre AES-CCMP.

Si está utilizando la seguridad WPA2 en su red, tiene dos opciones de autenticación: tiene que usar una sola contraseña para toda la red que todos conocen (esto se llama una clave precompartida o PSK), o usa 802.1X para obligar a cada usuario a usar sus propias credenciales de inicio de sesión únicas (por ejemplo, nombre de usuario y contraseña).

Independientemente del tipo de autenticación que haya configurado para usar su red, WPA2 siempre usa un esquema llamado AES-CCMP para cifrar sus datos por el aire en aras de la confidencialidad y para frustrar otros tipos de ataques.

802.1X es "EAP sobre LAN" o EAPoL. EAP significa "Protocolo de autenticación extensible", lo que significa que es una especie de esquema de complemento para varios métodos de autenticación. Algunos ejemplos:

  • ¿Desea autenticar a sus usuarios con nombres de usuario y contraseñas? Entonces "PEAP" es un buen tipo de EAP para usar.
  • ¿Desea autenticar a sus usuarios mediante certificados? Entonces "EAP-TLS" es un buen tipo de EAP para usar.
  • ¿Los dispositivos en su red son todos teléfonos inteligentes GSM con tarjetas SIM? Luego puede usar "EAP-SIM" para realizar la autenticación de estilo de tarjeta SIM GSM para conectarse a su red. etcétera etcétera.

Si configura su enrutador inalámbrico para usar 802.1X, debe tener una forma de autenticar a sus usuarios a través de algún tipo de EAP. Algunos enrutadores pueden tener la capacidad de ingresar una lista de nombres de usuario y contraseñas directamente en el enrutador, y el enrutador sabe cómo hacer toda la autenticación por sí mismo. Pero la mayoría probablemente requerirá que configure RADIUS. RADIUS es un protocolo que le permite mantener su base de datos de nombre de usuario y contraseña en un servidor central, por lo que no tiene que hacer cambios en cada enrutador inalámbrico cada vez que agrega o elimina un usuario o un usuario cambia su contraseña o algo así. Los enrutadores inalámbricos que hacen 802.1X generalmente no saben cómo autenticar a los usuarios directamente, solo saben cómo hacer una puerta de enlace entre 802.1X y RADIUS para que las máquinas cliente inalámbricas estén realmente autenticadas por un servidor RADIUS en la red,

Si la interfaz de usuario de su enrutador inalámbrico tiene "802.1X" en una lista de tipos de encriptación , entonces probablemente signifique "802.1X con WEP dinámico", que es un esquema antiguo donde 802.1X se usa para autenticación y por usuario por sesión Las claves WEP se generan dinámicamente como parte del proceso de autenticación y, por lo tanto, WEP es, en última instancia, el método de cifrado utilizado.

Actualización re: dos puertos lógicos

Para responder a su pregunta sobre dos entidades de puerto lógico, hay dos conceptos separados en la especificación 802.1X a los que puede estar refiriéndose.

Primero, la especificación 802.1X define los roles de cliente y servidor para el protocolo 802.1X, pero los llama Suplicante y Autenticador, respectivamente. Dentro de su cliente inalámbrico o su enrutador inalámbrico, tiene un software que desempeña el papel del Suplicante o Autenticador 802.1X. Este software que realiza esa función se denomina Entidad de acceso a puerto o PAE por la especificación.

En segundo lugar, la especificación menciona que, por ejemplo, dentro de su máquina cliente inalámbrica, debe haber una manera para que su software 802.1X Supplicant acceda a su interfaz inalámbrica para enviar y recibir paquetes EAP para lograr la autenticación, incluso cuando no hay otro software de red en su sistema todavía puede usar la interfaz inalámbrica (porque la interfaz de red no es confiable hasta que se haya autenticado). Entonces, en la extraña jerga legal de ingeniería de los documentos de especificaciones IEEE, dice que hay un "puerto no controlado" lógico al que se conecta el software del cliente 802.1X, y un "puerto controlado" al que se conecta el resto de la pila de red. Cuando intenta conectarse por primera vez a una red 802.1X, solo se habilita el puerto no controlado mientras el cliente 802.1X hace lo suyo. Una vez que la conexión ha sido autenticada (y, por ejemplo,

Respuesta larga, no tanto en términos simples:
IEEE 802.1X es una forma de autenticación por usuario o por dispositivo para LAN Ethernet cableadas o inalámbricas (y potencialmente otros esquemas de red en la familia IEEE 802). Originalmente fue diseñado e implementado para redes Ethernet cableadas, y luego fue adoptado por el grupo de trabajo IEEE 802.11 (LAN inalámbrica), como parte del anexo de seguridad 802.11i a 802.11, para servir como método de autenticación por usuario o por dispositivo. para redes 802.11.

Cuando usa la autenticación 802.1X en su red WPA o WPA2, todavía está usando los cifrados de confidencialidad WPA o WPA2 y los algoritmos de integridad de mensajes. Es decir, en el caso de WPA, todavía está utilizando TKIP como su cifrado de confidencialidad y MIChael como su verificación de integridad de mensajes. En el caso de WPA2, está utilizando AES-CCMP, que es tanto un cifrado de confidencialidad como una verificación de integridad de mensajes.

La diferencia cuando usa 802.1X es que ya no está usando una clave precompartida (PSK) en toda la red. Debido a que no está utilizando una sola PSK para todos los dispositivos, el tráfico de cada dispositivo es más seguro. Con PSK, si conoce el PSK y captura el apretón de manos clave cuando un dispositivo se une a la red, puede descifrar todo el tráfico de ese dispositivo. Pero con 802.1X, el proceso de autenticación genera de forma segura material de claves que se utiliza para crear una clave maestra por pares (PMK) única para la conexión, por lo que no hay forma de que un usuario descifre el tráfico de otro usuario.

802.1X se basa en EAP, el Protocolo de autenticación extensible que se desarrolló originalmente para PPP, y todavía se usa ampliamente en soluciones VPN que usan PPP dentro del túnel encriptado (LT2P-over-IPSec, PPTP, etc.). De hecho, 802.1X generalmente se conoce como "EAP sobre LAN" o "EAPoL".

EAP proporciona un mecanismo genérico para transportar mensajes de autenticación (solicitudes de autenticación, desafíos, respuestas, notificaciones de éxito, etc.) sin que la capa EAP tenga que conocer los detalles del método de autenticación particular que se utiliza. Existen varios "tipos de EAP" diferentes (mecanismos de autenticación diseñados para conectarse a EAP) para realizar la autenticación mediante nombre de usuario y contraseña, certificados, tarjetas de token y más.

Debido a la historia de EAP con PPP y VPN, siempre se ha enviado fácilmente a RADIUS. Debido a eso, es típico (pero no se requiere técnicamente) que los AP 802.11 que admiten 802.1X contengan un cliente RADIUS. Por lo tanto, los AP generalmente no conocen el nombre de usuario o contraseña de nadie, ni siquiera cómo procesar varios tipos de autenticación EAP, solo saben cómo recibir un mensaje EAP genérico de 802.1X, transformarlo en un mensaje RADIUS y reenviarlo al servidor RADIUS . Por lo tanto, el AP es solo un conducto para la autenticación, y no una parte en él. Los puntos finales reales de la autenticación suelen ser el cliente inalámbrico y el servidor RADIUS (o algún servidor de autenticación ascendente al que se conectan las puertas de enlace del servidor RADIUS).

Más historial del que quería saber: cuando se creó 802.11, el único método de autenticación que admitía era una forma de autenticación de clave compartida utilizando claves WEP de 40 o 104 bits, y WEP estaba limitado a 4 claves por red. Todos los usuarios o dispositivos que se conectaban a su red tenían que conocer una de las 4 teclas cortas para poder acceder a la red. No había forma en el estándar de autenticar a cada usuario o dispositivo por separado. Además, la forma en que se realizó la autenticación de clave compartida permitió ataques fáciles de "adivinar claves" de fuerza bruta rápida.

Muchos proveedores de equipos 802.11 de clase empresarial se dieron cuenta de que la autenticación por usuario (es decir, nombre de usuario y contraseña, o certificado de usuario) o por dispositivo (certificado de máquina) era necesaria para que 802.11 fuera un éxito en el mercado empresarial. A pesar de que 802.1X aún no había terminado, Cisco tomó una versión preliminar de 802.1X, la limitó a un tipo de EAP (una forma de EAP-MSCHAPv2), la hizo generar claves WEP dinámicas por dispositivo por sesión y creó lo que llamaron "Lightweight EAP" o LEAP. Otros proveedores hicieron cosas similares, pero con nombres más complicados como "802.1X con WEP dinámico".

La Wi-Fi Alliance (née la Wireless Ethernet Compatibility Alliance, o "WECA") vio el merecida mala reputación que estaba recibiendo WEP y vio la fragmentación del esquema de seguridad en la industria, pero no podía esperar a que el grupo de trabajo IEEE 802.11 terminara adoptando 802.1X en 802.11i, entonces la Alianza Wi-Fi creó el Acceso Protegido Wi-Fi (WPA) para definir un estándar interoperable de proveedores cruzados para corregir las fallas en WEP como un cifrado de confidencialidad (creando TKIP para reemplazarlo), las fallas en autenticación de clave compartida basada en WEP (creando WPA-PSK para reemplazarla), y para proporcionar una manera de usar 802.1X para la autenticación por usuario o por dispositivo.

Luego, el grupo de tareas IEEE 802.11i terminó su trabajo, eligió AES-CCMP como el cifrado de confidencialidad del futuro y adoptó 802.1X, con ciertas restricciones para mantenerlo seguro en redes inalámbricas, para la autenticación por usuario y por dispositivo para 802.11 LAN inalámbricas. A su vez, la Wi-Fi Alliance creó WPA2 para certificar la interoperabilidad entre implementaciones 802.11i. (La Wi-Fi Alliance es realmente una organización de certificación y comercialización de interoperabilidad, y a menudo prefiere dejar que el IEEE sea el verdadero organismo de estándares de WLAN. Pero si el IEEE está demasiado oculto y no se mueve lo suficientemente rápido para la industria, el Wi- Fi Alliance intervendrá y realizará un trabajo similar al de los estándares antes del IEEE, y generalmente luego se desvía al estándar IEEE relacionado una vez que salga más tarde).

Spiff
fuente
Hola spiff, ¿podrías vincular la parte que leí sobre 802.1x creando dos puertos lógicos, con tu respuesta laica? Gracias
Jason
3
@ Jason Ok, actualizado. Por cierto, 802.1X es una especificación independiente (no una adición a otra especificación), por lo que en las convenciones de nomenclatura IEEE, obtiene una letra mayúscula. Entonces es 802.1X, no 802.1x. Cada vez que vea documentación o un artículo que se equivoque, tómelo como un signo de descuido y falta de atención a los detalles, y deje que eso influya en la fe que deposita en esa documentación o artículo.
Spiff
Entonces WPA2 / Enterprise es encriptación AES y 802.1X es encriptación WEP. Aunque ambos usan 802.1X para la autenticación. Muy bien documentado con algo de historia detrás de todo. Gracias @Spiff, desearía poder votar dos veces.
Brain2000
@ Brain2000. Cuidado, su reformulación demasiado simplificada es muy engañosa. Puede ser cierto que algunos AP tienen IU de mierda que dicen engañosamente "802.1X" cuando lo que realmente quieren decir es "802.1X con WEP dinámico". Pero 802.1X es un protocolo de autenticación extensible para LAN que no es específico de 802.11, mucho menos WEP.
Spiff
@Spiff Tienes razón, es una interfaz de usuario horrible que muestra "WPA2 / Enterprise" y "802.1X" en el mismo menú desplegable. Después de todo, ese es el tema de toda esta pregunta. Entonces, sí, creo que lo que escribí es exactamente lo que quise escribir. No es una simplificación excesiva. Es una interfaz de usuario horrible, como tú lo dices.
Brain2000