Documente Academic
Documente Profesional
Documente Cultură
12
802.1X
20-21 decembrie 2011
Obiective
Cursul 12
Recapitulare
Riscuri de securitate
Calitile securitii
AAA
Riscuri de securitate
Un firewall dedicat protejeaz reeaua de atacuri din exterior
Dac un atacator obine acces fizic la reea, ce atacuri poate
efectua? La ce nivel sunt situate aceste atacuri?
Atacator
Internet
Nivele de atac
802.1x ncearc s protejeze reeaua de atacurile de la toate
nivelele superioare prin securizarea nivelului Acces la mediu
TCP/IP
Aplicaie
Atac
acces
SYN
Flood
Transport
Internet
Acces la mediu
Buffer
overflow
Smurf
attack
MITM
Packet
sniffing
Port
scan
Ping
sweep
Confidenialitate
Doar sursa i destinaia pot vizualiza
informaia
Integritate
Mesajul ajuns la destinaie nu a fost
modificat pe parcurs
AAA
Un sistem de securitate trebuie s ofere suport pentru trei
operaii de baz:
Authentication
Authorization
Accounting
Cursul 12
802.1X
Istorie
Componente
EAP
EAP-Methods
EAPOL
Istorie
1980
1990
2000
802.1X
Permite doar clienilor autentificai s acceseze reeaua
Autentificarea are loc la nivelul 2 din stiva OSI
Dac autentificarea clientului eueaz, acesta nu poate
trimite sau primi trafic din reeaua fizic
Atacator
Autentificarea eueaz i
atacatorul nu poate
accesa reeaua pentru a
efectua atacuri
10
802.11
Ethernet
802.11a
FastEthernet
802.11b
GigabitEthernet
802.11g
802.11n
11
12
Componente 802.1X
Solicitator (supplicant)
Dispozitiv client care trebuie s se autentifice nainte de a putea
accesa reeaua
Dispozitivul trebuie s aib implementate:
802.1X
O Metod EAP (EAP-Method) suportat de server
Solicitator
Autentificator
Server de
autentificare
13
Componente 802.1X
Autentificator (authenticator)
Dispozitiv de nivel 2 (de obicei switch sau access point)
Porturile configurate cu 802.1X stau nchise pn cnd un solicitator
este autentificat
Translateaz i schimb mesajele ntre solicitator i serverul de
autentificare
Solicitator
Autentificator
Server de
autentificare
14
Componente 802.1X
Server de autentificare (Authentication server)
De obicei un server RADIUS
Fiecare autentificator are asociat unul sau mai multe servere de
autentificare
n procesul de intrare n reea, autentificatorul va valida datele de
acces ale solicitatorului interognd serverul de autentificare
Solicitator
Autentificator
Server de
autentificare
15
Trafic 802.1X
Procesul de autentificare 802.1X include mai multe tipuri de
trafic
ntre solicitator i autentificator: EAPOL
Funcioneaz direct peste nivelul 2 (suportate sunt 802.3 i 802.11)
Solicitator
Autentificator
EAPOL
RADIUS
Server de
autentificare
RADIUS
16
Solicitator
Autentificator
EAPOL
17
EAP
EAP este un format de mesaje care poate ncapsula diferite
protocoale de autentificare
Nu e folosit doar pentru 802.1X
802.11n folosete EAP n WPA i WPA2
EAP
Informaia util protocolului de autentificare este situat n
EAP-Method
Exist 4 mesaje EAP:
Date EAP-Method
EAP-Method
EAP
19
EAPOL: EAP-Request
EAPOL: EAP-Response
EAPOL: EAP-Success
sau
EAPOL: EAP-Failure
20
Exemple EAP-Method
n interiorul mesajului EAP sunt incluse datele metodei de
autentificare
EAP suport un numr mare de metode:
EAP-OTP
EAP-MD5
EAP-TLS
EAP-GTC
EAP-IKEv2
EAP-SIM
EAP-AKA
EAP-AKA
EAP-PSK
EAP-LEAP
EAP-TTLS
EAP-FAST
21
Exemple EAP-Method
Dintre metodele EAP, trei sunt definite de RFC-ul EAP
Pentru fiecare dintre acestea, solicitantul poate refuza
metoda i sugera autentificatorului alte metode
EAP-MD5
EAP-GTC
Generic Token Card
EAP-OTP
One Time Password
22
EAPOL
EAPOL este ncapsularea folosit peste informaia EAP
pentru a putea funciona peste reele 802.3 i 802.11
EAP
EAPOL
802.3/802.11
Versiune
Tip
Lungime
23
EAPOL
Versiune
Tip
Lungime
Cursul 12
RADIUS
Descriere
Tipuri de mesaje
Autentificare cu RADIUS
RADIUS
Remote Access Dial-In User Service
Protocol folosit pentru a oferi servicii de AAA
RADIUS nu face diferena ntre autentificare i autorizare,
spre deosebire de alte protocoale (TACACS+)
Folosete UDP port 1812 pentru autentificare i UDP port
1813 pentru contabilizare
RADIUS nu este o aplicaie, ci un protocol
Aplicaiile poart numele de Servere RADIUS
26
Mesaje RADIUS
Access-Request
Client Server
Cerere trimis pentru realizarea autentificrii/autorizrii
Poate conine detalii de autentificare (de exemplu numele de
utilizator sau parola)
Server Client
Folosit de server pentru a cere detalii suplimentare de
Access-Challenge
autentificare
Poate fi folosit pentru a trimite un token n vederea
autentificrii fr a fi transmis parola pe legtur
Access-Accept
Server Client
Semnaleaz clientului c autentificarea s-a fcut cu succes
Access-Reject
Server Client
Semnaleaz clientului c autentificarea a euat
27
Arhitectur RADIUS
Serverele RADIUS pot fi folosite pentru a oferi AAA n
multiple situaii:
Autentificarea i
contabilizarea accesului
la echipamente
Stabilire conexiuni
PPP
Autentificare NAS
Autentificare VPN
28
Cursul 12
Exemplu de conectare
Conectare 802.1X prin EAP-MD5
Terminarea unei conexiuni
Vulnerabiliti 802.1X-2004
Solicitator
Autentificator
Server de
autentificare
EAPOL-Start
EAPOL-Start
30
Solicitator
Autentificator
Server de
autentificare
Access-Request
31
Cerere challenge
Primit challenge
Solicitator
Autentificator
Server de
autentificare
Access-Challenge
32
Solicitator
Autentificator
Server de
autentificare
EAP-Request
33
Cerere challenge
Challenge
Cheie
Primit challenge
MD5
Trimis challenge
Primit hash
Response
Solicitator
Autentificator
Server de
autentificare
EAP-Response
34
Autentificatorul:
Primete mesajul EAP-Response
Extrage datele EAP-Method (care conin i hash-ul solicitatorului)
Trimite datele (hash, username) mai departe serverului de
autentificare printr-un mesaj RADIUS Access-Request
Trimis challenge
Primit hash
Trimis hash
Solicitator
Autentificator
Server de
autentificare
Access-Request
35
Serverul de autentificare:
Folosete cheia din baza de date corespunztoare solicitatorului
i calculeaz pe baza ei un hash al challenge-ului trimis anterior
Compar hash-ul din mesajul Access-Request primit anterior cu
cel calculat
Dac sunt egale trimite un RADIUS Access-Accept ctre
autentificator
Dac nu sunt egale trimite un RADIUS Access-Reject ctre
autentificator
Primit hash
Trimis hash
Primit rspuns
Solicitator
Autentificator
Server de
autentificare
Access-Accept
36
Trimis hash
Primit rspuns
Solicitator
Autentificator
Server de
autentificare
Trimis rspuns
EAP-Success
37
Trimis challenge
Primit hash
Trimis hash
Primit rspuns
Solicitator
Autentificator
Server de
autentificare
Trimis rspuns
Terminare
EAPOL-Logoff
38
39
Vulnerabiliti 802.1X-2004
802.1X-2004 nu are msuri proprii de confidenialitate sau
integritate
Ce se ntmpl n situaia de mai jos?
R: Atacatorul este capabil s efectueze un atac MITM
Motivul pentru care acest atac este posibil este c solicitatorul nu
autentific autentificatorul
Atacatorul va juca rolul autentificatorului pentru a obine hash-ul de
autentificare al solicitatorului
Atacatorul poate ulterior folosi hash-ul pentru a accesa reeaua
Solicitator
Atacator
Autentificator
Server de
autentificare
40
Cursul 12
MACsec
Funcii
Structura cadrului
MACsec
IEEE 802.1AE publicat n 2006
Folosit n 802.1X-2010
Protocol de nivel 2 fr conexiune ce ofer:
Confidenialitate
Integritate
Autentificare
42
MACsec
Similar cu cadrul Ethernet, ns include i:
Security Tag, compus din:
Numrul asocierii
Numrul pachetului (folosit ca vector de iniializare pentru criptare i
mpotriva replay attack)
Identificator de canal sigur
43
Cursul 12
Configurare 802.1X
Autentificator: Ruter Cisco
Server de autentificare: freeradius
Solicitator: Linux cu wpasupplicant
Configurare autentificator
Primul pas n configurarea 802.1X este activarea AAA:
R1(config)# aaa new-model
Fa0/1
192.168.0.1
R1
45
Configurare autentificator
Ruterul se va autentifica la serverul RADIUS prin intermediul
unei chei comune (PSK pre-shared key)
R1(config)# radius-server key RL
192.168.0.2
Fa0/1
192.168.0.1
R1
46
Configurare autentificator
Ruterul trebuie configurat s foloseasc 802.1X:
R1(config)# dot1x system-auth-control
192.168.0.2
Fa0/1
192.168.0.1
R1
47
192.168.0.2
Fa0/1
192.168.0.1
R1
48
192.168.0.2
Fa0/1
192.168.0.1
R1
49
Configurare solicitator
Trebuie instalat i configurat clientul de 802.1X
Pe Linux se poate folosi wpasupplicant
linux# apt-get install wpasupplicant
192.168.0.2
Fa0/1
192.168.0.1
R1
50
Cuvinte cheie
EAP-MD5
EAPOL
Authentication
AAA
EAP
Accounting
Authorization
802.1X
Server de
autentificare
Solicitator
Autentificator
MACSEC
Access-Challenge
Access-Reject
RADIUS
Access-Accept
Access-Request
51
Echipa de RL v ureaz
Vacan plcut!
52