802.1X: Qu'est-ce que c'est EXACTEMENT en ce qui concerne WPA et EAP?

19

Je comprends que 802.1X est une sorte de contrôle d'authentification de port. Cependant, lorsque je vérifiais les paramètres de cryptage de mon réseau sans fil, j'ai trouvé 802.1X dans une liste déroulante avec WPA2, WPA et WEP, mais je ne vois pas comment cela peut être une alternative pour ceux-ci.

Quelqu'un pourrait-il expliquer en termes simples comment le 802.1X s'intègre, peut-être en ce qui concerne le protocole EAP? Tout ce que je sais, c'est que 802.1X fournit deux entités de port logique pour chaque port physique, l'une d'entre elles est destinée à l'authentification et je pense que l'autre est destinée aux messages EAP réels.

Jason
la source

Réponses:

38

Le plus proche que je puisse faire des termes profanes, légèrement simplifiés et limités à WPA2 pour des raisons de simplicité:

802.1X n'est PAS un type de cryptage. Il s'agit essentiellement d'un mécanisme d'authentification par utilisateur (par exemple, nom d'utilisateur et mot de passe).

WPA2 est un schéma de sécurité qui spécifie deux aspects principaux de votre sécurité sans fil:

  • Authentification: votre choix de PSK ("Personnel") ou 802.1X ("Entreprise").
  • Cryptage: toujours AES-CCMP.

Si vous utilisez la sécurité WPA2 sur votre réseau, vous avez deux choix d'authentification: vous devez soit utiliser un seul mot de passe pour tout le réseau que tout le monde connaît (c'est ce qu'on appelle une clé pré-partagée ou PSK), soit vous utilisez 802.1X pour forcer chaque utilisateur à utiliser ses propres identifiants de connexion uniques (par exemple nom d'utilisateur et mot de passe).

Quel que soit le type d'authentification que vous avez configuré pour utiliser votre réseau, WPA2 utilise toujours un schéma appelé AES-CCMP pour crypter vos données en direct pour des raisons de confidentialité et pour contrecarrer divers autres types d'attaques.

802.1X est "EAP over LANs" ou EAPoL. EAP signifie "Extensible Authentication Protocol", ce qui signifie que c'est une sorte de schéma de plug-in pour diverses méthodes d'authentification. Quelques exemples:

  • Voulez-vous authentifier vos utilisateurs avec des noms d'utilisateur et des mots de passe? Alors "PEAP" est un bon type d'EAP à utiliser.
  • Voulez-vous authentifier vos utilisateurs via des certificats? Alors "EAP-TLS" est un bon type d'EAP à utiliser.
  • Les appareils de votre réseau sont-ils tous des smartphones GSM avec des cartes SIM? Ensuite, vous pouvez utiliser "EAP-SIM" pour effectuer une authentification de type carte SIM GSM pour accéder à votre réseau. etc.

Si vous configurez votre routeur sans fil pour utiliser 802.1X, il doit avoir un moyen d'authentifier vos utilisateurs via un type EAP. Certains routeurs peuvent vous permettre de saisir une liste de noms d'utilisateur et de mots de passe directement sur le routeur, et le routeur sait comment procéder à l'authentification toute seule. Mais la plupart nécessiteront probablement que vous configuriez RADIUS. RADIUS est un protocole qui vous permet de conserver votre base de données de noms d'utilisateur et de mots de passe sur un serveur central, vous n'avez donc pas à apporter de modifications sur chaque routeur sans fil distinct chaque fois que vous ajoutez ou supprimez un utilisateur ou qu'un utilisateur modifie son mot de passe ou quelque chose. Les routeurs sans fil qui utilisent 802.1X ne savent généralement pas comment authentifier directement les utilisateurs, ils savent juste comment passer entre 802.1X et RADIUS afin que les machines clientes sans fil soient réellement authentifiées par un serveur RADIUS sur le réseau,

Si l'interface utilisateur de votre routeur sans fil a "802.1X" sur une liste de types de cryptage , cela signifie probablement "802.1X avec WEP dynamique", qui est un ancien schéma où le 802.1X est utilisé pour l'authentification et par utilisateur et par session Les clés WEP sont générées dynamiquement dans le cadre du processus d'authentification, et donc WEP est finalement la méthode de cryptage utilisée.

Mise à jour re: deux ports logiques

Pour répondre à votre question sur deux entités de port logique, il existe deux concepts distincts dans la spécification 802.1X auxquels vous faites peut-être référence.

Premièrement, la spécification 802.1X définit les rôles client et serveur pour le protocole 802.1X, mais elle les appelle respectivement Supplicant et Authenticator. Au sein de votre client sans fil ou de votre routeur sans fil, vous disposez d'un logiciel qui joue le rôle de supplicant ou d'authentificateur 802.1X. Ce logiciel qui remplit ce rôle est appelé une entité d'accès au port ou PAE par la spécification.

Deuxièmement, la spécification mentionne que, par exemple, sur votre machine cliente sans fil, votre logiciel 802.1X Supplicant doit avoir un moyen d'accéder à votre interface sans fil afin d'envoyer et de recevoir des paquets EAP pour effectuer l'authentification, même si aucun autre logiciel de réseau n'est votre système est autorisé à utiliser l'interface sans fil pour le moment (car l'interface réseau n'est pas approuvée tant qu'elle n'a pas été authentifiée). Ainsi, dans le jargon technique étrange des documents de spécification IEEE, il indique qu'il existe un "port non contrôlé" logique auquel le logiciel client 802.1X se connecte, et un "port contrôlé" auquel le reste de la pile réseau se connecte. Lors de votre première tentative de connexion à un réseau 802.1X, seul le port non contrôlé est activé pendant que le client 802.1X fait son travail. Une fois la connexion authentifiée (et, disons,

Réponse longue, pas tellement en termes simples:
IEEE 802.1X est un moyen de faire l'authentification par utilisateur ou par périphérique pour les réseaux locaux Ethernet câblés ou sans fil (et potentiellement d'autres schémas de réseau de la famille IEEE 802). Il a été initialement conçu et déployé pour les réseaux Ethernet câblés, puis adopté par le groupe de travail IEEE 802.11 (LAN sans fil), dans le cadre de l'addendum de sécurité 802.11i à 802.11, pour servir de méthode d'authentification par utilisateur ou par périphérique pour les réseaux 802.11.

Lorsque vous utilisez l'authentification 802.1X sur votre réseau WPA ou WPA2, vous utilisez toujours les chiffrements de confidentialité et les algorithmes d'intégrité des messages de WPA ou WPA2. Autrement dit, dans le cas de WPA, vous utilisez toujours TKIP comme chiffrement de confidentialité et MIChael comme vérification d'intégrité des messages. Dans le cas de WPA2, vous utilisez AES-CCMP qui est à la fois un chiffrement de confidentialité et un contrôle d'intégrité des messages.

La différence lorsque vous utilisez 802.1X est que vous n'utilisez plus de clé pré-partagée (PSK) à l'échelle du réseau. Étant donné que vous n'utilisez pas un seul PSK pour tous les appareils, le trafic de chaque appareil est plus sécurisé. Avec PSK, si vous connaissez le PSK et capturez la prise de contact clé lorsqu'un appareil rejoint le réseau, vous pouvez décrypter tout le trafic de cet appareil. Mais avec 802.1X, le processus d'authentification génère en toute sécurité du matériel de clé utilisé pour créer une clé principale Pairwise (PMK) unique pour la connexion, il n'y a donc aucun moyen pour un utilisateur de déchiffrer le trafic d'un autre utilisateur.

802.1X est basé sur EAP, le protocole d'authentification extensible qui a été développé à l'origine pour PPP, et est toujours largement utilisé dans les solutions VPN qui utilisent PPP à l'intérieur du tunnel chiffré (LT2P-sur-IPSec, PPTP, etc.). En fait, 802.1X est généralement appelé «EAP sur LAN» ou «EAPoL».

EAP fournit un mécanisme générique pour le transport des messages d'authentification (demandes d'authentification, défis, réponses, notifications de réussite, etc.) sans que la couche EAP ait à connaître les détails de la méthode d'authentification particulière utilisée. Il existe un certain nombre de "types EAP" différents (mécanismes d'authentification conçus pour se connecter à EAP) pour effectuer l'authentification via nom d'utilisateur et mot de passe, certificats, cartes à jeton, etc.

En raison de l'histoire d'EAP avec PPP et VPN, il a toujours été facilement accessible via RADIUS. Pour cette raison, il est typique (mais non requis techniquement) pour les points d'accès 802.11 qui prennent en charge 802.1X de contenir un client RADIUS. Ainsi, les points d'accès ne connaissent généralement pas le nom d'utilisateur ou le mot de passe de quiconque ni même comment traiter divers types d'authentification EAP, ils savent simplement comment prendre un message EAP générique à partir de 802.1X, le transformer en un message RADIUS et le transmettre au serveur RADIUS . Ainsi, l'AP n'est qu'un canal pour l'authentification, et non une partie à celle-ci. Les vrais points de terminaison de l'authentification sont généralement le client sans fil et le serveur RADIUS (ou un serveur d'authentification en amont vers lequel le serveur RADIUS passe).

Plus d'historique que vous ne vouliez en savoir: lorsque 802.11 a été créé pour la première fois, la seule méthode d'authentification prise en charge était une forme d'authentification à clé partagée utilisant des clés WEP 40 ou 104 bits, et WEP était en quelque sorte limité à 4 clés par réseau. Tous les utilisateurs ou appareils se connectant à votre réseau devaient connaître l'une des 4 touches courtes du réseau pour pouvoir continuer. Il n'y avait aucun moyen dans la norme d'authentifier chaque utilisateur ou appareil séparément. De plus, la façon dont l'authentification par clé partagée a été effectuée a permis des attaques par devinettes rapides par force brute "hors ligne" faciles.

De nombreux fournisseurs d'équipements 802.11 de classe entreprise ont réalisé que l'authentification par utilisateur (c.-à-d. Nom d'utilisateur et mot de passe ou certificat utilisateur) ou par périphérique (certificat machine) était nécessaire pour faire du 802.11 un succès sur le marché des entreprises. Même si 802.1X n'était pas encore fait, Cisco a pris une version préliminaire de 802.1X, l'a limitée à un type EAP (une forme d'EAP-MSCHAPv2), l'a fait générer des clés WEP dynamiques par périphérique et par session, et a créé ce qu'ils ont appelé "Lightweight EAP" ou LEAP. D'autres fournisseurs ont fait des choses similaires, mais avec des noms plus maladroits comme "802.1X avec WEP dynamique".

La Wi-Fi Alliance (née la Wireless Ethernet Compatibility Alliance, ou "WECA") a vu la mauvaise réputation méritée que WEP obtenait et a vu la fragmentation du schéma de sécurité se produire dans l'industrie, mais ne pouvait pas attendre la fin du groupe de travail IEEE 802.11 l'adoption de 802.1X dans 802.11i, de sorte que la Wi-Fi Alliance a créé un accès protégé Wi-Fi (WPA) pour définir une norme interopérable inter-fournisseurs pour corriger les failles dans WEP en tant que chiffre de confidentialité (créer TKIP pour le remplacer), les failles dans l'authentification par clé partagée basée sur WEP (en créant WPA-PSK pour le remplacer) et pour fournir un moyen d'utiliser 802.1X pour l'authentification par utilisateur ou par périphérique.

Ensuite, le groupe de travail IEEE 802.11i a terminé son travail, choisissant AES-CCMP comme chiffre de confidentialité du futur et adoptant le 802.1X, avec certaines restrictions pour le sécuriser sur les réseaux sans fil, pour l'authentification par utilisateur et par périphérique pour 802.11 LAN sans fil. À son tour, la Wi-Fi Alliance a créé WPA2 pour certifier l'interopérabilité entre les implémentations 802.11i. (L'Alliance Wi-Fi est vraiment une organisation de certification et de marketing interopérables, et préfère souvent laisser l'IEEE être le véritable organisme de normalisation du WLAN. Mais si l'IEEE est trop caché et ne se déplace pas assez rapidement pour l'industrie, le Wi- Fi Alliance interviendra et effectuera un travail semblable à un corps avant l'IEEE, puis se reportera généralement à la norme IEEE correspondante une fois qu'elle sera publiée plus tard.)

Spiff
la source
Hé spiff, pourriez-vous simplement relier la partie que j'ai lue sur 802.1x créant deux ports logiques, avec votre réponse profane? Merci
Jason
3
@ Jason Okay, mis à jour. Soit dit en passant, 802.1X est une spécification autonome (pas un addendum à une autre spécification), donc dans les conventions de dénomination IEEE, il obtient une lettre majuscule. C'est donc 802.1X, pas 802.1x. Chaque fois que vous voyez de la documentation ou un article qui se trompe, prenez-le comme un signe de négligence et d'inattention aux détails, et laissez cela influencer la confiance que vous accordez à cette documentation ou cet article.
Spiff
Ainsi, WPA2 / Enterprise est le cryptage AES et 802.1X est le cryptage WEP. Même s'ils utilisent tous les deux 802.1X pour l'authentification. Très bien documenté avec un peu d'histoire derrière tout cela. Merci @Spiff, j'aimerais pouvoir voter deux fois.
Brain2000
@ Brain2000. Attention, votre retraitement simplifié est très trompeur. Il est peut-être vrai que certains points d'accès ont des interfaces utilisateur de merde qui disent trompeusement juste "802.1X" alors que ce qu'ils signifient vraiment est "802.1X avec WEP dynamique". Mais le 802.1X est un protocole d'authentification extensible pour les LAN qui n'est pas spécifique au 802.11, et encore moins au WEP.
Spiff
@Spiff Vous avez raison, c'est une interface utilisateur merdique qui affiche "WPA2 / Enterprise" et "802.1X" dans la même liste déroulante. Après tout, c'est le sujet de toute cette question. Donc, oui, je pense que ce que j'ai écrit est exactement ce que je voulais écrire. Ce n'est pas une simplification excessive. C'est une interface utilisateur merdique, comme vous le dites.
Brain2000