web-dev-qa-db-fra.com

802.1X: Qu'est-ce EXACTEMENT en ce qui concerne WPA et EAP?

Je comprends que 802.1X est une sorte de contrôle d’authentification de port. Cependant, lorsque je vérifiais les paramètres de chiffrement de mon réseau sans fil, j'ai trouvé 802.1X dans une liste déroulante avec WPA2, WPA et WEP, mais je ne vois pas en quoi cela pourrait être une alternative.

Quelqu'un pourrait-il expliquer en termes simples comment la norme 802.1X s’intègre, peut-être aussi en ce qui concerne le protocole EAP? Tout ce que je sais, c'est que 802.1X fournit deux entités de port logique pour chaque port physique, l'une d'entre elles est destinée à l'authentification et je pense que l'autre concerne les messages EAP réels?

19
Jason

Le plus proche que je puisse faire aux termes simples, légèrement simpliste, et limité à WPA2 pour des raisons de simplicité:

802.1X n'est PAS un type de chiffrement. Il s’agit essentiellement d’un mécanisme d’authentification par utilisateur (nom d’utilisateur et mot de passe, par exemple).

WPA2 est un schéma de sécurité qui spécifie deux aspects principaux de votre sécurité sans fil:

  • Authentification: Votre choix est PSK ("Personnel") ou 802.1X ("Entreprise").
  • Cryptage: toujours AES-CCMP.

Si vous utilisez la sécurité WPA2 sur votre réseau, vous avez le choix entre deux méthodes d’authentification: vous devez utiliser un mot de passe unique pour tout le réseau connu de tous (clé dite pré-partagée ou PSK) ou vous devez utiliser 802.1X. obliger chaque utilisateur à utiliser ses propres informations d'identification uniques (par exemple, nom d'utilisateur et mot de passe).

Quel que soit le type d'authentification que vous avez configuré pour votre réseau, WPA2 utilise toujours un système appelé AES-CCMP pour chiffrer vos données à distance dans un souci de confidentialité et pour contrecarrer divers autres types d'attaques.

802.1X est "EAP over LANs" ou EAPoL. EAP signifie "Extensible Authentication Protocol", ce qui signifie qu'il s'agit d'une sorte de schéma de plug-in pour diverses méthodes d'authentification. Quelques exemples:

  • Voulez-vous authentifier vos utilisateurs avec des noms d'utilisateur et des mots de passe? Alors "PEAP" est un bon type d'EAP à utiliser.
  • Voulez-vous authentifier vos utilisateurs via des certificats? Alors "EAP-TLS" est un bon type d'EAP à utiliser.
  • Les appareils de votre réseau sont-ils tous des smartphones GSM avec des cartes SIM? Ensuite, vous pouvez utiliser "EAP-SIM" pour effectuer une authentification de style carte SIM GSM afin de vous connecter à votre réseau. etc.

Si vous configurez votre routeur sans fil pour utiliser 802.1X, il doit disposer d'un moyen d'authentifier vos utilisateurs via un type EAP. Certains routeurs peuvent vous permettre de saisir une liste de noms d'utilisateur et de mots de passe directement sur le routeur, et le routeur sait comment effectuer l'authentification en entier. Mais dans la plupart des cas, vous devrez probablement configurer RADIUS. RADIUS est un protocole qui vous permet de conserver votre base de données de noms d'utilisateur et de mots de passe sur un serveur central. Ainsi, vous n'avez pas à modifier chaque routeur sans fil chaque fois que vous ajoutez ou supprimez un utilisateur. change son mot de passe ou quelque chose. Les routeurs sans fil qui utilisent 802.1X ne savent généralement pas comment authentifier directement les utilisateurs, ils savent juste comment passer entre 802.1X et RADIUS afin que les ordinateurs clients sans fil soient réellement authentifiés par un RADIUS sur le réseau, et c’est le serveur RADIUS qui sait comment traiter divers types d’EAP.

Si l'interface utilisateur de votre routeur sans fil comporte "802.1X" dans une liste de types cryptage, cela signifie probablement "802.1X avec WEP dynamique", qui est un ancien schéma dans lequel 802.1X est utilisé pour l'authentification, et les clés WEP par session et par utilisateur sont générées dynamiquement dans le cadre du processus d'authentification. WEP est donc finalement la méthode de cryptage utilisée.

Mise à jour re: deux ports logiques

Pour répondre à votre question sur deux entités de port logique, il est possible que vous fassiez référence à deux concepts distincts dans la spécification 802.1X.

Premièrement, la spécification 802.1X définit les rôles de client et de serveur pour le protocole 802.1X, mais elle les appelle respectivement supplicant et authentificateur. Dans votre client sans fil ou votre routeur sans fil, vous avez un logiciel qui joue le rôle de 802.1X Supplicant ou Authenticator. Ce logiciel qui remplit ce rôle est appelé une entité d'accès au port ou PAE par la spécification.

Deuxièmement, il est indiqué dans votre ordinateur client sans fil que votre logiciel 802.1X Supplicant doit pouvoir accéder à votre interface sans fil afin d’envoyer et de recevoir des paquets EAP afin de s’authentifier, même si aucun autre logiciel de réseau ne fonctionne. votre système est encore autorisé à utiliser l'interface sans fil (car l'interface réseau n'est pas approuvée tant qu'elle n'a pas été authentifiée). Ainsi, dans l'étrange jargon juridique des documents de spécification IEEE, il est indiqué qu'il existe un "port non contrôlé" logique auquel le logiciel client 802.1X est connecté, et un "port contrôlé" auquel le reste de la pile réseau est connecté. Lorsque vous tentez pour la première fois de vous connecter à un réseau 802.1X, seul le port non contrôlé est activé pendant que le client 802.1X fait son travail. Une fois que la connexion a été authentifiée (et que le cryptage WPA2 AES-CCMP a été configuré pour protéger le reste de vos transmissions réseau), le port contrôlé est activé de sorte que le reste du système considère ce lien comme "en haut". ".

Réponse longue, pas tellement en termes simples:
IEEE 802.1X est un moyen d'effectuer l'authentification par utilisateur ou par périphérique pour les réseaux locaux Ethernet câblés ou sans fil (et éventuellement d'autres schémas de réseau de la famille IEEE 802). Conçu et déployé à l'origine pour les réseaux Ethernet filaires, il a ensuite été adopté par le groupe de travail IEEE 802.11 (réseau local sans fil), dans le cadre de l'addendum sur la sécurité 802.11i à 802.11, pour servir de méthode d'authentification par utilisateur ou par périphérique. pour les réseaux 802.11.

Lorsque vous utilisez l'authentification 802.1X sur votre réseau WPA ou WPA2, vous utilisez toujours WPA ou les algorithmes de chiffrement de confidentialité et d'intégrité de message de WPA2. Autrement dit, dans le cas de WPA, vous utilisez toujours TKIP comme code de confidentialité et MIChael comme contrôle d’intégrité du message. Dans le cas de WPA2, vous utilisez AES-CCMP, qui est à la fois un chiffrement de confidentialité et un contrôle d'intégrité du message.

La différence lorsque vous utilisez 802.1X est que vous n'utilisez plus de clé pré-partagée (PSK) à l'échelle du réseau. Étant donné que vous n'utilisez pas un seul PSK pour tous les périphériques, le trafic de chaque périphérique est plus sécurisé. Avec PSK, si vous connaissez le PSK et capturez la poignée de main lorsqu'un périphérique rejoint le réseau, vous pouvez décrypter tout le trafic de ce périphérique. Mais avec 802.1X, le processus d'authentification génère de manière sécurisée le matériel de clé utilisé pour créer une clé unique Pairwise Master Key (PMK), de sorte qu'aucun utilisateur ne peut décrypter le trafic d'un autre utilisateur.

802.1X est basé sur EAP, le protocole d'authentification extensible développé à l'origine pour PPP. Il est encore largement utilisé dans les solutions VPN utilisant PPP à l'intérieur du tunnel crypté (LT2P-over-IPSec, PPTP, etc.). ). En fait, 802.1X est généralement appelé "EAP over LAN" ou "EAPoL".

EAP fournit un mécanisme générique de transport des messages d'authentification (demandes d'authentification, défis, réponses, notifications de réussite, etc.) sans que la couche EAP n'ait à connaître les détails de la méthode d'authentification particulière utilisée. Il existe un certain nombre de "types EAP" (mécanismes d'authentification conçus pour se connecter à EAP) permettant l'authentification via nom d'utilisateur et mot de passe, certificats, cartes à jeton, etc.

En raison de son historique avec PPP et de son réseau privé virtuel (VPN), EAP a toujours été facilement accessible via RADIUS. De ce fait, les points d’accès 802.11 prenant en charge 802.1X contiennent généralement un client RADIUS (mais n’est pas techniquement nécessaire). Ainsi, les points d'accès ne connaissent généralement pas le nom d'utilisateur ou le mot de passe de l'utilisateur, ni même le traitement des différents types d'authentification EAP. Ils savent juste comment prendre en compte un message EAP générique de 802.1X et le transformer en un message RADIUS et transmettez-le au serveur RADIUS. Ainsi, le point d'accès n'est qu'un canal pour l'authentification et non une partie. Les points d'extrémité réels de l'authentification sont généralement le client sans fil et le serveur RADIUS (ou un serveur d'authentification en amont auquel les passerelles de serveur RADIUS).

Plus d’histoire que ce que vous vouliez savoir: Lors de la création de la norme 802.11, la seule méthode d’authentification qu’elle prenait en charge était une forme d’authentification par clé partagée utilisant des clés WEP de 40 ou 104 bits. WEP était en quelque sorte limité. à 4 clés par réseau. Tous les utilisateurs ou appareils se connectant à votre réseau devaient connaître l'une des 4 touches courtes du réseau pour pouvoir continuer. Le standard ne permettait pas d'authentifier chaque utilisateur ou périphérique séparément. En outre, la manière dont l'authentification par clé partagée a été effectuée a permis des attaques de type "Oracle déconnecté" rapides et rapides.

De nombreux fournisseurs de matériel d'entreprise 802.11 de classe entreprise ont compris que l'authentification par utilisateur (nom d'utilisateur et mot de passe, ou certificat d'utilisateur) ou par périphérique (certificat d'ordinateur) était nécessaire pour que le 802.11 soit un succès sur le marché de l'entreprise. Même si 802.1X n'était pas encore complètement terminé, Cisco a pris une version préliminaire de 802.1X, l'a limitée à un type EAP (une forme d'EAP-MSCHAPv2), l'a générée pour générer des clés WEP dynamiques par périphérique et par session, puis a été créée. ce qu'ils ont appelé "Lightweight EAP" ou LEAP. D'autres fournisseurs ont agi de la même manière, mais avec des noms moins pratiques tels que "802.1X avec WEP dynamique".

La Wi-Fi Alliance (née de la "Wireless Ethernet Compatibility Alliance" ou "WECA") a été témoin de la mauvaise réputation du WEP et a constaté la fragmentation du système de sécurité dans le secteur, mais elle était impatiente de terminer le groupe de travail IEEE 802.11. En adoptant 802.1X en 802.11i, la Wi-Fi Alliance a donc créé le WPA (Wi-Fi Protected Access) pour définir un standard interopérable inter-fournisseur permettant de corriger les failles du WEP en tant que chiffrement de confidentialité (créant TKIP pour le remplacer). dans l'authentification par clé partagée basée sur WEP (création de WPA-PSK pour la remplacer), et pour fournir un moyen d'utiliser 802.1X pour l'authentification par utilisateur ou par périphérique.

Le groupe de travail IEEE 802.11i a ensuite terminé son travail en choisissant AES-CCMP comme code de confidentialité du futur et en adoptant 802.1X, avec certaines restrictions pour le garder sécurisé sur les réseaux sans fil, pour l'authentification par utilisateur et par périphérique pour 802.11. LAN sans fil. À son tour, la Wi-Fi Alliance a créé WPA2 pour certifier l'interopérabilité entre les mises en œuvre 802.11i. (La Wi-Fi Alliance est en réalité une organisation de certification et de marketing interop et préfère souvent laisser l’IEEE devenir le véritable organisme de normalisation WLAN. Mais si l’IEEE est trop caché et n’avance pas assez vite pour le secteur, le Wi- Fi Alliance interviendra et effectuera un travail similaire à celui des normes avant l'IEEE, puis reportera généralement à la norme IEEE correspondante une fois qu'elle sera publiée plus tard.)

38
Spiff