Cursul 12

12
802.1X
20-21 decembrie 2011

Obiective

Recapitulare: Securitatea n reele

Protocolul 802.1X
RADIUS
Exemplu de funcionare 802.1X
MACsec
Configurare 802.1X

Cursul 12

Recapitulare
Riscuri de securitate
Calitile securitii
AAA

Riscuri de securitate
Un firewall dedicat protejeaz reeaua de atacuri din exterior
Dac un atacator obine acces fizic la reea, ce atacuri poate
efectua? La ce nivel sunt situate aceste atacuri?
Atacator

Internet

Nivele de atac
802.1x ncearc s protejeze reeaua de atacurile de la toate
nivelele superioare prin securizarea nivelului Acces la mediu
TCP/IP

Aplicaie

Atac
acces
SYN
Flood

Transport
Internet

Acces la mediu

Buffer
overflow

Smurf
attack

MITM

Packet
sniffing

Port
scan
Ping
sweep

Recapitulare: Concepte de securitate

Autentificare
Sursa i destinaia sunt cine spun c sunt

Confidenialitate
Doar sursa i destinaia pot vizualiza
informaia

Integritate
Mesajul ajuns la destinaie nu a fost
modificat pe parcurs

AAA
Un sistem de securitate trebuie s ofere suport pentru trei
operaii de baz:

Authentication

Clientul este cine spune c este i poate accesa sistemul

Exemplu: Utilizatorul student cu parola student poate
accesa un anumit sistem Linux

Authorization

Clientul are dreptul s fac operaia pe care o ncearc

Exemplu: Utilizatorul student poate crea fiiere n
/home/student/ dar autorizarea va eua dac ncearc s
creeze n /root/

Accounting

Aciunile clientului sunt contabilizate

Exemplu: Log-uri de acces

Cursul 12

802.1X

Istorie
Componente
EAP
EAP-Methods
EAPOL

Istorie
1980

1990

2000

1983 - IEEE 802.3

Este publicat standardul Ethernet 10BASE5

1998 - EAP (Extensible Authentication Protocol)

802.1X-2001
Variant de EAP ce poate funciona
peste reele cu fir 802
Poart numele de EAPOL (EAP over LAN)
802.1X-2004
Introduce 802.11i (EAP over 802.11)
802.1X-2010
Corecteaz vulnerabiliti din
802.1x-2004
Introduce MACSEC
9

802.1X
Permite doar clienilor autentificai s acceseze reeaua
Autentificarea are loc la nivelul 2 din stiva OSI
Dac autentificarea clientului eueaz, acesta nu poate
trimite sau primi trafic din reeaua fizic
Atacator

Autentificarea eueaz i
atacatorul nu poate
accesa reeaua pentru a
efectua atacuri

10

Recapitulare: 802.3 i 802.11

802.1X funcioneaz peste reele 802.3 i 802.11
n ce tipuri de reele poate fi configurat 802.1X?
802.3

802.11

Ethernet

802.11a

FastEthernet

802.11b

GigabitEthernet

802.11g

802.11n
11

802.1x Funcii suplimentare

802.1X permite i alte funcii pe lng blocarea accesului

staiilor neautentificate:
Poate urmri locaia utilizatorilor (de exemplu AP-ul sau switch-ul de
unde s-au conectat)
Poate contabiliza i taxa activitatea clientului autentificat (pentru
servicii de ISP)
Poate permite doar accesul la anumite pri din reeaua fizic n
funcie de nivelul de acces al clientului

12

Componente 802.1X
Solicitator (supplicant)
Dispozitiv client care trebuie s se autentifice nainte de a putea
accesa reeaua
Dispozitivul trebuie s aib implementate:
802.1X
O Metod EAP (EAP-Method) suportat de server

Solicitator

Autentificator

Server de
autentificare

13

Componente 802.1X
Autentificator (authenticator)
Dispozitiv de nivel 2 (de obicei switch sau access point)
Porturile configurate cu 802.1X stau nchise pn cnd un solicitator
este autentificat
Translateaz i schimb mesajele ntre solicitator i serverul de
autentificare

Solicitator

Autentificator

Server de
autentificare

14

Componente 802.1X
Server de autentificare (Authentication server)
De obicei un server RADIUS
Fiecare autentificator are asociat unul sau mai multe servere de
autentificare
n procesul de intrare n reea, autentificatorul va valida datele de
acces ale solicitatorului interognd serverul de autentificare

Solicitator

Autentificator

Server de
autentificare

15

Trafic 802.1X
Procesul de autentificare 802.1X include mai multe tipuri de
trafic
ntre solicitator i autentificator: EAPOL
Funcioneaz direct peste nivelul 2 (suportate sunt 802.3 i 802.11)

ntre autentificator i serverul de autentificare: RADIUS

Protocol de nivel aplicaie ce funcioneaz peste UDP

Solicitator

Autentificator

EAPOL

RADIUS

Server de
autentificare

RADIUS

16

Dialogul solicitant - autentificator

Singura comunicaie descris n standardul 802.1X
Celelalte comunicaii sunt necesare pentru 802.1X dar nu
sunt definite n standardul propriu-zis
EAP a fost proiectat ca un protocol point-to-point
A fost adaptat pentru funcionarea peste Ethernet prin EAPOL

Solicitator

Autentificator

EAPOL

17

EAP
EAP este un format de mesaje care poate ncapsula diferite
protocoale de autentificare
Nu e folosit doar pentru 802.1X
802.11n folosete EAP n WPA i WPA2

EAP nu poate fi folosit direct pentru transmiterea cadrelor

Este necesar un alt protocol care s transmit informaia EAP

Antetul EAP specific doar metoda ce va fi folosit pentru

autentificare
Date EAP-Method
EAP-Method
EAP
18

EAP
Informaia util protocolului de autentificare este situat n
EAP-Method
Exist 4 mesaje EAP:

Request: un nod cere informaii de autentificare altui nod

Response: un nod ofer informaii de autentificare altui nod
Success: anun c autentificarea s-a fcut cu succes
Failure: anun c autentificarea a euat

Date EAP-Method
EAP-Method
EAP
19

EAP Exemplu de comunicaie

EAPOL este folosit pentru transportul mesajelor EAP

EAPOL: EAP-Request
EAPOL: EAP-Response
EAPOL: EAP-Success
sau
EAPOL: EAP-Failure
20

Exemple EAP-Method
n interiorul mesajului EAP sunt incluse datele metodei de
autentificare
EAP suport un numr mare de metode:
EAP-OTP

EAP-MD5

EAP-TLS
EAP-GTC
EAP-IKEv2
EAP-SIM

EAP-AKA

EAP-AKA
EAP-PSK

EAP-LEAP
EAP-TTLS

EAP-FAST

21

Exemple EAP-Method
Dintre metodele EAP, trei sunt definite de RFC-ul EAP
Pentru fiecare dintre acestea, solicitantul poate refuza
metoda i sugera autentificatorului alte metode
EAP-MD5

Mesajul de EAP-Request conine un Challenge

Autentificatorul ateapt un EAP-Response cu challenge-ul
hash-uit cu HMAC-MD5 (cheia pentru HMAC e parola
utilizatorului)

EAP-GTC
Generic Token Card
EAP-OTP
One Time Password
22

EAPOL
EAPOL este ncapsularea folosit peste informaia EAP
pentru a putea funciona peste reele 802.3 i 802.11
EAP

EAPOL

802.3/802.11

Versiune

Tip

Lungime

23

EAPOL
Versiune

Tip

Lungime

Lungime payload EAPOL

Tipul mesajului EAP:
0 = EAP-Packet
1 = EAPOL-Start
2 = EAPOL-Logoff
3 = EAPOL-Key
4 = EAPOL-Encapsulated-ASF-Alert
Versiunea protocolului EAPOL (mereu 2)
24

Cursul 12

RADIUS
Descriere
Tipuri de mesaje
Autentificare cu RADIUS

RADIUS
Remote Access Dial-In User Service
Protocol folosit pentru a oferi servicii de AAA
RADIUS nu face diferena ntre autentificare i autorizare,
spre deosebire de alte protocoale (TACACS+)
Folosete UDP port 1812 pentru autentificare i UDP port
1813 pentru contabilizare
RADIUS nu este o aplicaie, ci un protocol
Aplicaiile poart numele de Servere RADIUS

26

Mesaje RADIUS

Access-Request

Client Server
Cerere trimis pentru realizarea autentificrii/autorizrii
Poate conine detalii de autentificare (de exemplu numele de
utilizator sau parola)

Server Client
Folosit de server pentru a cere detalii suplimentare de
Access-Challenge
autentificare
Poate fi folosit pentru a trimite un token n vederea
autentificrii fr a fi transmis parola pe legtur
Access-Accept

Server Client
Semnaleaz clientului c autentificarea s-a fcut cu succes

Access-Reject

Server Client
Semnaleaz clientului c autentificarea a euat
27

Arhitectur RADIUS
Serverele RADIUS pot fi folosite pentru a oferi AAA n
multiple situaii:
Autentificarea i
contabilizarea accesului
la echipamente

Stabilire conexiuni
PPP

Autentificare NAS

Autentificare VPN
28

Cursul 12

Exemplu de conectare
Conectare 802.1X prin EAP-MD5
Terminarea unei conexiuni
Vulnerabiliti 802.1X-2004

Conectarea unui client EAP-MD5

Iniiere

n starea iniial, legtura de pe autentificator este

down
La conectarea unui dispozitiv, legtura trece n starea
up
Cnd legtura trece n starea up, autentificatorul va
trimite un EAPOL-Start ctre solicitator
Dac legtura era deja up i solicitatorul dorete s se
autentifice, poate trimite el mesajul EAPOL-Start iniial

Solicitator

Autentificator

Server de
autentificare

EAPOL-Start

EAPOL-Start
30

Conectarea unui client EAP-MD5

Iniiere
Cerere challenge

Autentificatorul cere un challenge string serverului de

autentificare
Mesajul este un mesaj RADIUS Access-Request
transmis peste UDP
Pe acest segment nu se mai folosesc formatele EAPOL/EAP

Solicitator

Autentificator

Server de
autentificare

Access-Request
31

Conectarea unui client EAP-MD5

Iniiere

Serverul RADIUS returneaz challenge string-ul

printr-un mesaj RADIUS tip Access-Challenge

Cerere challenge
Primit challenge

Solicitator

Autentificator

Server de
autentificare

Access-Challenge
32

Conectarea unui client EAP-MD5

Iniiere
Cerere challenge
Primit challenge
Trimis challenge

Autentificatorul trimite mai departe challenge-ul MD5

ctre solicitator printr-un EAP-Request
Autentificatorul retrimite EAP-Request-ul dac nu a
primit niciun rspuns pn la expirarea unui timeout
Dac nu primete un rspuns dup un numr de
ncercri, abandoneaz autentificarea
Solicitatorul rmne blocat n afara reelei

Solicitator

Autentificator

Server de
autentificare

EAP-Request
33

Conectarea unui client EAP-MD5

Iniiere

Solicitatorul preia challenge-ul i calculeaz un hash pe

baza lui i pe baza cheii de acces

Cerere challenge

Challenge

Cheie

Primit challenge

MD5

Trimis challenge
Primit hash

Response

Solicitator

Autentificator

Server de
autentificare

EAP-Response
34

Conectarea unui client EAP-MD5

Iniiere
Cerere challenge
Primit challenge

Autentificatorul:
Primete mesajul EAP-Response
Extrage datele EAP-Method (care conin i hash-ul solicitatorului)
Trimite datele (hash, username) mai departe serverului de
autentificare printr-un mesaj RADIUS Access-Request

Trimis challenge
Primit hash
Trimis hash

Solicitator

Autentificator

Server de
autentificare

Access-Request
35

Conectarea unui client EAP-MD5

Iniiere
Cerere challenge
Primit challenge
Trimis challenge

Serverul de autentificare:
Folosete cheia din baza de date corespunztoare solicitatorului
i calculeaz pe baza ei un hash al challenge-ului trimis anterior
Compar hash-ul din mesajul Access-Request primit anterior cu
cel calculat
Dac sunt egale trimite un RADIUS Access-Accept ctre
autentificator
Dac nu sunt egale trimite un RADIUS Access-Reject ctre
autentificator

Primit hash
Trimis hash

Primit rspuns

Solicitator

Autentificator

Server de
autentificare

Access-Accept
36

Conectarea unui client EAP-MD5

Iniiere
Cerere challenge
Primit challenge
Trimis challenge
Primit hash

Dac autentificatorul a primit un Access-Accept de la

server:
Trimite un EAP-Success ctre solicitator
Solicitatorul poate accesa reeaua

Dac autentificatorul a primit un Access-Reject de la

server:
Trimite un EAP-Failure ctre solicitator
Solicitatorul nu poate accesa reeaua
n cazuri speciale, poate configurat doar un acces parial al
solicitatorului (de exemplu doar un VLAN neprivilegiat)

Trimis hash

Primit rspuns

Solicitator

Autentificator

Server de
autentificare

Trimis rspuns

EAP-Success
37

Terminare sesiune client

Iniiere
Cerere challenge
Primit challenge

Cnd solicitatorul dorete s prseasc reeaua, acesta

poate anuna autentificatorului s nchid sesiunea de
autentificare
Pentru a nchide sesiunea solicitatorul trimite un mesaj
EAPOL-Logoff

Trimis challenge
Primit hash
Trimis hash

Primit rspuns

Solicitator

Autentificator

Server de
autentificare

Trimis rspuns
Terminare

EAPOL-Logoff
38

Conectarea unui client EAP-MD5

EAP-MD5 nu este o soluie sigur deoarece MD5 este
vulnerabil la atacuri brute force
Vulnerabilitatea matematic a MD5 poate fi exploatat prin rainbow
tables

Pentru 802.1X se recomand folosirea altor protocoale n loc

de EAP-MD5

39

Vulnerabiliti 802.1X-2004
802.1X-2004 nu are msuri proprii de confidenialitate sau
integritate
Ce se ntmpl n situaia de mai jos?
R: Atacatorul este capabil s efectueze un atac MITM
Motivul pentru care acest atac este posibil este c solicitatorul nu
autentific autentificatorul
Atacatorul va juca rolul autentificatorului pentru a obine hash-ul de
autentificare al solicitatorului
Atacatorul poate ulterior folosi hash-ul pentru a accesa reeaua

Solicitator

Atacator

Autentificator

Server de
autentificare

40

Cursul 12

MACsec
Funcii
Structura cadrului

MACsec
IEEE 802.1AE publicat n 2006
Folosit n 802.1X-2010
Protocol de nivel 2 fr conexiune ce ofer:
Confidenialitate
Integritate
Autentificare

Protocolul stabilete asocieri de securitate (Security

Association) unidirecionale la nivel 2 ce sunt grupate n
canale sigure (Secure Channel)
Conexiunile LAN neautorizate sunt identificate i izolate de
restul reelei

42

MACsec
Similar cu cadrul Ethernet, ns include i:
Security Tag, compus din:
Numrul asocierii
Numrul pachetului (folosit ca vector de iniializare pentru criptare i
mpotriva replay attack)
Identificator de canal sigur

MAC (Message authentication code)

Similar cu MAC-ul folosit n tunelele SSH
Folosit pentru realizarea autentificrii

43

Cursul 12

Configurare 802.1X
Autentificator: Ruter Cisco
Server de autentificare: freeradius
Solicitator: Linux cu wpasupplicant

Configurare autentificator
Primul pas n configurarea 802.1X este activarea AAA:
R1(config)# aaa new-model

Pentru a aduga un server RADIUS cunoscut:

R1(config)# radius-server host 192.168.0.1 auth 1812 acct 1813

Port UDP pentru

contabilizare
Port UDP pentru
autentificare
IP-ul serverului
RADIUS
192.168.0.2

Fa0/1

192.168.0.1
R1
45

Configurare autentificator
Ruterul se va autentifica la serverul RADIUS prin intermediul
unei chei comune (PSK pre-shared key)
R1(config)# radius-server key RL

Ruterul trebuie configurat s foloseasc pentru 802.1X

serverele RADIUS adugate anterior :
R1(config)# aaa authentication dot1x default group radius

192.168.0.2

Fa0/1

192.168.0.1
R1
46

Configurare autentificator
Ruterul trebuie configurat s foloseasc 802.1X:
R1(config)# dot1x system-auth-control

Acum 802.1X poate fi activat individual pe fiecare interfa:

R1(config)# interface Fa0/1
R1(config-if)# dot1x port-control auto
[]Line protocol on Interface FastEthernet0/2, changed state to down

Interfaa trece n down pentru a

bloca traficul clienilor
neautentificai prin 802.1X

192.168.0.2

Fa0/1

192.168.0.1
R1
47

Configurare server de autentificare

Pe Linux se poate folosi utilitarul freeradius
linux# apt-get install freeradius

/etc/freeradius/clients.conf conine autentificatorii (n cazul

acesta ruterul):
Clients.conf:
Client 192.168.0.2 {
secret = RL # trebuie s fie acelai ca PSK-ul pus pe ruter
shortname = R1
}

192.168.0.2

Fa0/1

192.168.0.1
R1
48

Configurare server de autentificare

Pe Linux se poate folosi utilitarul freeradius
/etc/freeradius/users.conf conine solicitatorii (n cazul
acesta PC-ul client):
users.conf:
Student Cleartext-Password := student
DEFAULT Auth-Type := Reject

Serverul trebuie repornit dup realizarea modificrilor

linux# /etc/init.d/freeradius restart

192.168.0.2

Fa0/1

192.168.0.1
R1
49

Configurare solicitator
Trebuie instalat i configurat clientul de 802.1X
Pe Linux se poate folosi wpasupplicant
linux# apt-get install wpasupplicant

Configurarea se face n /etc/wpa_supplicant_md5.conf

Metoda folosit este EAP-MD5
wpa_supplicant_md5.conf:
ctrl-interface=/var/run/wpa_supplicant
network={
key_mgmt=IEEE8021
eap=md5
identity=student
password=student
}

192.168.0.2

Fa0/1

192.168.0.1
R1
50

Cuvinte cheie
EAP-MD5

EAPOL

Authentication
AAA

EAP

Accounting

Authorization
802.1X
Server de
autentificare

Solicitator
Autentificator

MACSEC

Access-Challenge

Access-Reject
RADIUS

Access-Accept
Access-Request
51

Echipa de RL v ureaz
Vacan plcut!

52