IEEE 802.1x

IEEE 802.1x es un estándar IEEE para el control de acceso de red basado en puertos (PNAC). Es parte del grupo IEEE 802.1 de protocolos de redes. Proporciona un mecanismo de autenticación a los dispositivos que deseen unir a una LAN o WLAN.

IEEE 802.1x define la encapsulación del protocolo de autenticación extensible (EAP) sobre redes IEEE 802 con cable y más de 802.11 redes inalámbricas, que se conoce como " EAP sobre LAN " o Eapol. EAPOL se especificó originalmente para IEEE 802.3 Ethernet, IEEE 802.5 Token Ring y FDDI (ANSI X3T9.5/X3T12 e ISO 9314) en 802.1x-2001, pero se extendió para adaptarse a otras tecnologías IEEE 802 LAN como IEEE 802.11 Inglesas en 802.1 en 802.1 X-2004. El EAPOL también se modificó para su uso con IEEE 802.1ae (" MacSec ") e IEEE 802.1ar (identidad de dispositivo seguro, devID) en 802.1x-2010 para admitir la identificación del servicio y el cifrado de punto a punto opcional sobre el interno interno Segmento LAN.

Descripción general

La autenticación 802.1X involucra a tres partes: un solicitante, un autenticador y un servidor de autenticación. El solicitante es un dispositivo cliente (como una computadora portátil) que desea conectarse a la LAN/WLAN. El término 'suplicante' también se usa indistintamente para referirse al software que se ejecuta en el cliente que proporciona credenciales al autenticador. El autenticador es un dispositivo de red que proporciona un enlace de datos entre el cliente y la red y puede permitir o bloquear el tráfico de red entre los dos, como un conmutador Ethernet o un punto de acceso inalámbrico; y el servidor de autenticación suele ser un servidor confiable que puede recibir y responder solicitudes de acceso a la red, y puede decirle al autenticador si se debe permitir la conexión y varias configuraciones que deben aplicarse a ese cliente. 39;s conexión o configuración. Los servidores de autenticación normalmente ejecutan software compatible con los protocolos RADIUS y EAP. En algunos casos, el software del servidor de autenticación puede estar ejecutándose en el hardware del autenticador.

El autenticador actúa como un guardia de seguridad de una red protegida. El solicitante (es decir, el dispositivo del cliente) no puede acceder a través del autenticador al lado protegido de la red hasta que la identidad del solicitante haya sido validada y autorizada. Con la autenticación basada en puertos 802.1X, el solicitante debe proporcionar inicialmente las credenciales requeridas al autenticador; el administrador de la red las habrá especificado previamente y podrían incluir un nombre de usuario/contraseña o un certificado digital permitido. El autenticador envía estas credenciales al servidor de autenticación para decidir si se debe otorgar acceso. Si el servidor de autenticación determina que las credenciales son válidas, informa al autenticador, que a su vez permite que el suplicante (dispositivo cliente) acceda a los recursos ubicados en el lado protegido de la red.

Operación de protocolo

EAPOL opera sobre la capa de enlace de datos y en el protocolo de tramas Ethernet II tiene un valor EtherType de 0x888E.

Entidades portuarias

802.1X-2001 define dos entidades de puertos lógicos para un puerto autenticado: el "puerto controlado" y el "puerto no controlado". El puerto controlado es manipulado por 802.1X PAE (entidad de acceso al puerto) para permitir (en el estado autorizado) o evitar (en el estado no autorizado) la entrada y salida del tráfico de red hacia/desde el puerto controlado. El puerto no controlado es utilizado por el PAE 802.1X para transmitir y recibir tramas EAPOL.

802.1X-2004 define las entidades portuarias equivalentes para el solicitante; por lo tanto, un solicitante que implemente 802.1X-2004 puede evitar que se utilicen protocolos de nivel superior si no está satisfecho con que la autenticación se haya completado con éxito. Esto es especialmente útil cuando se utiliza un método EAP que proporciona autenticación mutua, ya que el solicitante puede evitar la fuga de datos cuando se conecta a una red no autorizada.

Progresión de autenticación típica

El procedimiento típico de autenticación consiste en:

1. Iniciación En la detección de un nuevo suplicante, el puerto en el interruptor (authenticator) está habilitado y se establece en el estado "no autorizado". En este estado, sólo se permite el tráfico de 802.1X; otro tráfico, como el Protocolo de Internet (y con ese TCP y UDP), se disminuye.
2. Iniciación Para iniciar la autenticación, el autenticador transmitirá periódicamente marcos de identidad EAP-Request a una dirección especial Layer 2 (01:80:C2:00:00:03) en el segmento de red local. El suplicante escucha en esta dirección, y en la recepción del marco de identidad EAP-Request, responde con un marco de identidad EAP-Response que contiene un identificador para el suplicante como un ID de usuario. El autenticador entonces encapsula esta respuesta de identidad en un paquete RADIUS Access-Request y la envía al servidor de autenticación. El súplicante también puede iniciar o reiniciar la autenticación enviando un marco EAPOL-Start al autenticador, que entonces responderá con un marco de identidad de la EAP-Request.
3. Negociación (Convención técnica del PAN) El servidor de autenticación envía una respuesta (encapsulado en un paquete RADIUS Access-Challenge) al autenticador, que contiene una Solicitud EAP especificando el Método EAP (El tipo de autenticación basada en EAP desea que el plegable realice). El autenticador encapsula la Solicitud EAP en un marco EAPOL y la transmite al suplicante. En este punto, el súplica puede comenzar a utilizar el Método EAP solicitado, o hacer un NAK ("Reconocimiento negativo") y responder con los Métodos EAP que está dispuesto a realizar.
4. Autenticación Si el servidor de autenticación y suplicante aceptan un método EAP, las peticiones y respuestas de EAP se envían entre el suplicante y el servidor de autenticación (traducido por el autenticador) hasta que el servidor de autenticación responda con un mensaje EAP-Success (encapsulado en un paquete RADIUS Access-Accept), o un mensaje EAP-Failure (encapsulado en un RADIet Access-Reject). Si la autenticación es exitosa, el autenticador fija el puerto al estado "autorizado" y se permite el tráfico normal, si no tiene éxito el puerto permanece en el estado "no autorizado". Cuando el súplica se desconecta, envía un mensaje de EAPOL-logoff al autenticador, el autenticador entonces establece el puerto al estado "no autorizado", una vez más bloqueando todo el tráfico no-EAP.

Implementaciones

Un proyecto de código abierto llamado Open1X produce un cliente, Xsupplicant. Este cliente está actualmente disponible tanto para Linux como para Windows. Los principales inconvenientes del cliente Open1X son que no proporciona una documentación de usuario amplia y comprensible y que la mayoría de los proveedores de Linux no proporcionan un paquete para ello. El wpa_supplicant más general se puede utilizar para redes inalámbricas 802.11 y redes cableadas. Ambos admiten una amplia gama de tipos de EAP.

El iPhone y el iPod Touch son compatibles con 802.1X desde el lanzamiento de iOS 2.0. Android tiene soporte para 802.1X desde el lanzamiento de 1.6 Donut. ChromeOS es compatible con 802.1X desde mediados de 2011.

macOS ha ofrecido soporte nativo desde 10.3.

Avenda Systems ofrece un cliente para Windows, Linux y macOS. También tienen un complemento para el marco Microsoft NAP. Avenda también ofrece agentes de control de salud.

Ventanas

De forma predeterminada, Windows no responde a las solicitudes de autenticación 802.1X durante 20 minutos después de una autenticación fallida. Esto puede causar una interrupción significativa a los clientes.

El período de bloqueo se puede configurar usando el valor DWORD HKEY_LOCAL_MACHINESOFTWAREMicrosoftdot3svcBlockTime (HKEY_LOCAL_MACHINESOFTWAREMicrosoftwlansvcBlockTime para redes inalámbricas) en el registro (ingresado en minutos). Se requiere una revisión para Windows XP SP3 y Windows Vista SP2 para que el período sea configurable.

Los certificados de servidor comodín no son compatibles con EAPHost, el componente de Windows que proporciona compatibilidad con EAP en el sistema operativo. La implicación de esto es que cuando se utiliza una autoridad de certificación comercial, se deben comprar certificados individuales.

Windows XP

Windows XP tiene problemas importantes con el manejo de los cambios de dirección IP resultantes de la autenticación 802.1X basada en el usuario que cambia la VLAN y, por lo tanto, la subred de los clientes. Microsoft ha declarado que no respaldará la función SSO de Vista que resuelve estos problemas.

Si los usuarios no inician sesión con perfiles móviles, se debe descargar e instalar una revisión si se autentica a través de PEAP con PEAP-MSCHAPv2.

Windows Vista

Es posible que las computadoras basadas en Windows Vista que están conectadas a través de un teléfono IP no se autentiquen como se esperaba y, como resultado, el cliente puede ubicarse en la VLAN incorrecta. Hay una revisión disponible para corregir esto.

Windows 7

Es posible que los equipos basados en Windows 7 que están conectados a través de un teléfono IP no se autentiquen como se esperaba y, en consecuencia, el cliente puede ubicarse en la VLAN incorrecta. Hay una revisión disponible para corregir esto.

Windows 7 no responde a las solicitudes de autenticación 802.1X después de que falla la autenticación 802.1X inicial. Esto puede causar una interrupción significativa a los clientes. Hay una revisión disponible para corregir esto.

Windows PE

Para la mayoría de las empresas que implementan sistemas operativos de forma remota, vale la pena señalar que Windows PE no tiene soporte nativo para 802.1X. Sin embargo, se puede agregar compatibilidad con WinPE 2.1 y WinPE 3.0 a través de revisiones que están disponibles en Microsoft. Aunque la documentación completa aún no está disponible, la documentación preliminar para el uso de estas revisiones está disponible a través de un blog de Microsoft.

Linux

La mayoría de las distribuciones de Linux admiten 802.1X a través de wpa_supplicant e integración de escritorio como NetworkManager.

Dispositivos Apple

A partir de iOS 17 y macOS 14, los dispositivos Apple admiten la conexión a redes 802.1X mediante EAP-TLS con TLS 1.3 (EAP-TLS 1.3). Además, los dispositivos que ejecutan iOS/iPadOS/tvOS 17 o posterior admiten redes cableadas 802.1X.

Federaciones

eduroam (el servicio de roaming internacional), exige el uso de la autenticación 802.1X al brindar acceso a la red a los invitados que visitan desde otras instituciones habilitadas para eduroam.

BT (British Telecom, PLC) emplea Identity Federation para la autenticación en los servicios prestados a una amplia variedad de industrias y gobiernos.

Extensiones propietarias

MAB (Omisión de autenticación MAC)

No todos los dispositivos admiten la autenticación 802.1X. Los ejemplos incluyen impresoras de red, dispositivos electrónicos basados en Ethernet como sensores ambientales, cámaras y teléfonos inalámbricos. Para que esos dispositivos se utilicen en un entorno de red protegido, se deben proporcionar mecanismos alternativos para autenticarlos.

Una opción sería deshabilitar 802.1X en ese puerto, pero eso deja ese puerto desprotegido y abierto a abusos. Otra opción un poco más confiable es usar la opción MAB. Cuando MAB está configurado en un puerto, ese puerto primero intentará verificar si el dispositivo conectado es compatible con 802.1X y, si no se recibe ninguna reacción del dispositivo conectado, intentará autenticarse con el servidor AAA utilizando el dispositivo conectado.;s dirección MAC como nombre de usuario y contraseña. Luego, el administrador de la red debe hacer provisiones en el servidor RADIUS para autenticar esas direcciones MAC, ya sea agregándolos como usuarios regulares o implementando una lógica adicional para resolverlos en una base de datos de inventario de la red.

Muchos conmutadores Ethernet administrados ofrecen opciones para esto.

Vulnerabilidades en 802.1X-2001 y 802.1X-2004

Medios compartidos

En el verano de 2005, Steve Riley de Microsoft publicó un artículo (basado en la investigación original del MVP de Microsoft Svyatoslav Pidgorny) que detallaba una vulnerabilidad grave en el protocolo 802.1X, que involucraba un ataque de hombre en el medio. En resumen, la falla se deriva del hecho de que 802.1X se autentica solo al comienzo de la conexión, pero después de esa autenticación, es posible que un atacante use el puerto autenticado si tiene la capacidad de insertarse físicamente (quizás usando un concentrador de grupo de trabajo) entre la computadora autenticada y el puerto. Riley sugiere que para las redes cableadas, el uso de IPsec o una combinación de IPsec y 802.1X sería más seguro.

Las tramas de cierre de sesión de EAPOL transmitidas por el suplicante 802.1X se envían sin cifrar y no contienen datos derivados del intercambio de credenciales que autenticó inicialmente al cliente. Por lo tanto, son trivialmente fáciles de falsificar en medios compartidos y se pueden usar como parte de un DoS dirigido tanto en redes LAN inalámbricas como cableadas. En un ataque de cierre de sesión de EAPOL, un tercero malicioso, con acceso al medio al que está conectado el autenticador, envía repetidamente marcos de cierre de sesión de EAPOL falsificados desde la dirección MAC del dispositivo de destino. El autenticador (creyendo que el dispositivo de destino desea finalizar su sesión de autenticación) cierra la sesión de autenticación del objetivo, bloqueando el tráfico que ingresa desde el objetivo y negándole el acceso a la red.

La especificación 802.1X-2010, que comenzó como 802.1af, aborda las vulnerabilidades de las especificaciones 802.1X anteriores mediante el uso de MACsec IEEE 802.1AE para cifrar datos entre puertos lógicos (que se ejecutan sobre un puerto físico) e IEEE 802.1AR (Secure Device Identity / DevID) dispositivos autenticados.

Como medida provisional, hasta que estas mejoras se implementen ampliamente, algunos proveedores han ampliado los protocolos 802.1X-2001 y 802.1X-2004, lo que permite que se produzcan varias sesiones de autenticación simultáneas en un solo puerto. Si bien esto evita que el tráfico de dispositivos con direcciones MAC no autenticadas ingrese a un puerto autenticado 802.1X, no evitará que un dispositivo malicioso husmee en el tráfico de un dispositivo autenticado y no brinda protección contra la suplantación de MAC o los ataques de EAPOL-Logoff.

Alternativas

La alternativa respaldada por IETF es el Protocolo para llevar la autenticación para el acceso a la red (PANA), que también lleva EAP, aunque funciona en la capa 3, usando UDP, por lo que no está vinculado a la infraestructura 802.