IEEE 802.1X es un estándar IEEE para el control de acceso a redes basado en puertos (PNAC). Es parte del grupo de protocolos de red IEEE 802.1 . Proporciona un mecanismo de autenticación para dispositivos que deseen conectarse a una LAN o WLAN .
El estándar aborda directamente un tipo de piratería informática llamado "DarkVishnya" [1] en el que un atacante que se hace pasar por un invitado, cliente o personal esconde un dispositivo de piratería en el edificio que luego conecta a la red para darle acceso total. Un ejemplo notable del problema fue en 2005, cuando una máquina conectada a la red de Walmart pirateó miles de sus servidores [2].
IEEE 802.1X define la encapsulación del Protocolo de autenticación extensible (EAP) sobre redes cableadas IEEE 802 [3] y sobre redes inalámbricas 802.11, [4] lo que se conoce como "EAP sobre LAN" o EAPOL. [5] EAPOL se especificó originalmente para IEEE 802.3 Ethernet, IEEE 802.5 Token Ring y FDDI (ANSI X3T9.5/X3T12 e ISO 9314) en 802.1X-2001, [6] pero se amplió para adaptarse a otras tecnologías LAN IEEE 802 como como IEEE 802.11 inalámbrico en 802.1X-2004. [7] EAPOL también se modificó para su uso con IEEE 802.1AE ("MACsec") e IEEE 802.1AR (Secure Device Identity, DevID) en 802.1X-2010 [8] [9] para admitir la identificación de servicios y punto a punto opcional. cifrado a través del segmento LAN interno.
La autenticación 802.1X involucra a tres partes: un solicitante, un autenticador y un servidor de autenticación. El solicitante es un dispositivo cliente (como una computadora portátil) que desea conectarse a la LAN/WLAN. El término "suplicante" también se usa indistintamente para referirse al software que se ejecuta en el cliente y que proporciona credenciales al autenticador. El autenticador es un dispositivo de red que proporciona un enlace de datos entre el cliente y la red y puede permitir o bloquear el tráfico de red entre ambos, como un conmutador Ethernet o un punto de acceso inalámbrico ; y el servidor de autenticación suele ser un servidor confiable que puede recibir y responder a solicitudes de acceso a la red, y puede decirle al autenticador si se permitirá la conexión y varias configuraciones que deben aplicarse a la conexión o configuración de ese cliente. Los servidores de autenticación suelen ejecutar software que admite los protocolos RADIUS y EAP . En algunos casos, es posible que el software del servidor de autenticación se esté ejecutando en el hardware del autenticador.
El autenticador actúa como un guardia de seguridad de una red protegida. Al solicitante (es decir, el dispositivo cliente) no se le permite acceder a través del autenticador al lado protegido de la red hasta que la identidad del solicitante haya sido validada y autorizada. Con la autenticación basada en puerto 802.1X, el solicitante debe proporcionar inicialmente las credenciales requeridas al autenticador; estas habrán sido especificadas de antemano por el administrador de la red y podrían incluir un nombre de usuario/contraseña o un certificado digital permitido . El autenticador envía estas credenciales al servidor de autenticación para decidir si se concede el acceso. Si el servidor de autenticación determina que las credenciales son válidas, informa al autenticador, que a su vez permite al solicitante (dispositivo cliente) acceder a los recursos ubicados en el lado protegido de la red. [10]
EAPOL opera sobre la capa de enlace de datos y en el protocolo de entramado Ethernet II tiene un valor EtherType de 0x888E.
802.1X-2001 define dos entidades de puerto lógico para un puerto autenticado: el "puerto controlado" y el "puerto no controlado". El puerto controlado es manipulado por la PAE (Entidad de acceso al puerto) 802.1X para permitir (en el estado autorizado) o impedir (en el estado no autorizado) la entrada y salida del tráfico de red hacia/desde el puerto controlado. El puerto no controlado es utilizado por el 802.1X PAE para transmitir y recibir tramas EAPOL.
802.1X-2004 define las entidades portuarias equivalentes para el solicitante; por lo tanto, un solicitante que implemente 802.1X-2004 puede impedir que se utilicen protocolos de nivel superior si no es contenido que la autenticación se haya completado exitosamente. Esto es particularmente útil cuando se utiliza un método EAP que proporciona autenticación mutua , ya que el solicitante puede evitar la fuga de datos cuando se conecta a una red no autorizada.
El procedimiento de autenticación típico consiste en:
Un proyecto de código abierto llamado Open1X produce un cliente, Xsupplicant . Este cliente está actualmente disponible tanto para Linux como para Windows. Los principales inconvenientes del cliente Open1X son que no proporciona documentación de usuario extensa y comprensible y que la mayoría de los proveedores de Linux no proporcionan un paquete para él. El wpa_supplicant más general se puede utilizar para redes inalámbricas y redes cableadas 802.11 . Ambos admiten una amplia gama de tipos de EAP. [11]
El iPhone y el iPod Touch son compatibles con 802.1X desde el lanzamiento de iOS 2.0. Android es compatible con 802.1X desde el lanzamiento de 1.6 Donut. ChromeOS admite 802.1X desde mediados de 2011. [12]
macOS ofrece soporte nativo desde 10.3 . [13]
Avenda Systems proporciona un solicitante para Windows , Linux y macOS . También tienen un complemento para el marco NAP de Microsoft . [14] Avenda también ofrece agentes de control de salud.
De forma predeterminada, Windows no responde a las solicitudes de autenticación 802.1X durante 20 minutos después de una autenticación fallida. Esto puede causar perturbaciones importantes a los clientes.
El período de bloqueo se puede configurar usando el valor DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc\BlockTime [15] (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc\BlockTime para redes inalámbricas) en el registro (ingresado en minutos). Se requiere una revisión para Windows XP SP3 y Windows Vista SP2 para que el período sea configurable. [dieciséis]
EAPHost, el componente de Windows que proporciona compatibilidad con EAP en el sistema operativo, no admite los certificados de servidor comodín . [17] La implicación de esto es que cuando se utiliza una autoridad de certificación comercial, se deben comprar certificados individuales.
Windows XP tiene problemas importantes con el manejo de los cambios de dirección IP resultantes de la autenticación 802.1X basada en el usuario que cambia la VLAN y, por lo tanto, la subred de los clientes. [18] Microsoft ha declarado que no respaldará la función SSO de Vista que resuelve estos problemas. [19]
Si los usuarios no inician sesión con perfiles móviles, se debe descargar e instalar una revisión si se autentican mediante PEAP con PEAP-MSCHAPv2. [20]
Es posible que las computadoras basadas en Windows Vista que están conectadas a través de un teléfono IP no se autentiquen como se esperaba y, como resultado, el cliente puede ubicarse en la VLAN incorrecta. Hay una revisión disponible para corregir esto. [21]
Es posible que las computadoras basadas en Windows 7 que están conectadas a través de un teléfono IP no se autentiquen como se esperaba y, en consecuencia, el cliente puede ubicarse en la VLAN incorrecta. Hay una revisión disponible para corregir esto. [21]
Windows 7 no responde a las solicitudes de autenticación 802.1X después de que falla la autenticación 802.1X inicial. Esto puede causar perturbaciones importantes a los clientes. Hay una revisión disponible para corregir esto. [22]
Para la mayoría de las empresas que implementan e implementan sistemas operativos de forma remota, vale la pena señalar que Windows PE no tiene soporte nativo para 802.1X. Sin embargo, se puede agregar soporte a WinPE 2.1 [23] y WinPE 3.0 [24] mediante revisiones disponibles de Microsoft. Aunque la documentación completa aún no está disponible, la documentación preliminar para el uso de estas revisiones está disponible a través del blog de Microsoft. [25]
La mayoría de las distribuciones de Linux admiten 802.1X a través de wpa_supplicant e integración de escritorio como NetworkManager .
A partir de iOS 17 y macOS 14 , los dispositivos Apple admiten la conexión a redes 802.1X mediante EAP-TLS con TLS 1.3 (EAP-TLS 1.3). Además, los dispositivos que ejecutan iOS/iPadOS/tvOS 17 o posterior admiten redes cableadas 802.1X. [26] [27]
eduroam (el servicio de roaming internacional) exige el uso de autenticación 802.1X al brindar acceso a la red a invitados que visitan otras instituciones habilitadas para eduroam. [28]
BT (British Telecom, PLC) emplea Identity Federation para la autenticación en servicios prestados a una amplia variedad de industrias y gobiernos. [29]
No todos los dispositivos admiten la autenticación 802.1X. Los ejemplos incluyen impresoras de red, dispositivos electrónicos basados en Ethernet como sensores ambientales, cámaras y teléfonos inalámbricos. Para que esos dispositivos se utilicen en un entorno de red protegido, se deben proporcionar mecanismos alternativos para autenticarlos.
Una opción sería desactivar 802.1X en ese puerto, pero eso deja ese puerto desprotegido y abierto al abuso. Otra opción un poco más fiable es utilizar la opción MAB. Cuando MAB está configurado en un puerto, ese puerto primero intentará verificar si el dispositivo conectado es compatible con 802.1X y, si no se recibe ninguna reacción del dispositivo conectado, intentará autenticarse con el servidor AAA utilizando la dirección MAC del dispositivo conectado. como nombre de usuario y contraseña. Luego, el administrador de la red debe tomar medidas en el servidor RADIUS para autenticar esas direcciones MAC, ya sea agregándolas como usuarios regulares o implementando lógica adicional para resolverlas en una base de datos de inventario de la red.
Muchos conmutadores Ethernet administrados [30] ofrecen opciones para esto.
En el verano de 2005, Steve Riley de Microsoft publicó un artículo (basado en la investigación original del MVP de Microsoft, Svyatoslav Pidgorny) que detallaba una vulnerabilidad grave en el protocolo 802.1X, que involucraba a un hombre en el medio del ataque . En resumen, la falla surge del hecho de que 802.1X se autentica solo al comienzo de la conexión, pero después de esa autenticación, es posible que un atacante use el puerto autenticado si tiene la capacidad de insertarse físicamente (tal vez usando un grupo de trabajo). hub) entre la computadora autenticada y el puerto. Riley sugiere que para redes cableadas el uso de IPsec o una combinación de IPsec y 802.1X sería más seguro. [31]
Las tramas EAPOL-Logoff transmitidas por el solicitante 802.1X se envían sin cifrar y no contienen datos derivados del intercambio de credenciales que inicialmente autenticó al cliente. [32] Por lo tanto, son trivialmente fáciles de falsificar en medios compartidos y pueden usarse como parte de un DoS dirigido tanto en LAN cableadas como inalámbricas. En un ataque EAPOL-Logoff, un tercero malintencionado, con acceso al medio al que está conectado el autenticador, envía repetidamente tramas EAPOL-Logoff falsificadas desde la dirección MAC del dispositivo objetivo. El autenticador (creyendo que el dispositivo objetivo desea finalizar su sesión de autenticación) cierra la sesión de autenticación del objetivo, bloqueando el tráfico que ingresa desde el objetivo y negándole el acceso a la red.
La especificación 802.1X-2010, que comenzó como 802.1af, aborda las vulnerabilidades de especificaciones 802.1X anteriores mediante el uso de MACsec IEEE 802.1AE para cifrar datos entre puertos lógicos (que se ejecutan sobre un puerto físico) y IEEE 802.1AR (identidad segura de dispositivo). / DevID) dispositivos autenticados. [8] [9] [33] [34]
Como solución provisional, hasta que estas mejoras se implementen ampliamente, algunos proveedores han extendido el protocolo 802.1X-2001 y 802.1X-2004, permitiendo que se realicen múltiples sesiones de autenticación simultáneas en un solo puerto. Si bien esto evita que el tráfico de dispositivos con direcciones MAC no autenticadas ingrese a un puerto autenticado 802.1X, no impedirá que un dispositivo malicioso espíe el tráfico de un dispositivo autenticado y no brinda protección contra la suplantación de MAC o ataques de cierre de sesión EAPOL.
La alternativa respaldada por IETF es el Protocolo para llevar autenticación para acceso a la red (PANA), que también lleva EAP, aunque funciona en la capa 3, usando UDP, por lo que no está vinculado a la infraestructura 802. [35]
Con Vista, esto no es un problema en absoluto con la característica SSO, sin embargo, esta característica no existe en XP y desafortunadamente, no tenemos ningún plan para volver a incluir esta característica en XP ya que es un cambio demasiado complejo.