La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

IEEE 802.1x (Port Based Network Access Control). IEEE 802.1x standard IEEE basato sul controllo delle porte di accesso alla rete LAN e MAN. standardIEEE.

Presentazioni simili


Presentazione sul tema: "IEEE 802.1x (Port Based Network Access Control). IEEE 802.1x standard IEEE basato sul controllo delle porte di accesso alla rete LAN e MAN. standardIEEE."— Transcript della presentazione:

1 IEEE 802.1x (Port Based Network Access Control)

2 IEEE 802.1x standard IEEE basato sul controllo delle porte di accesso alla rete LAN e MAN. standardIEEE LANMAN collegamento punto a puntopunto a punto utilizzato dalle reti locali wireless per gestire le connessioni agli access pointwirelessaccess point si basa sul protocollo EAP, Extensible Authentication ProtocolEAP OBIETTIVO: risolvere le insicurezze del WEP

3 802.1x: attori coinvolti Supplicant, il client che richiede di essere autenticato Authenticator, il dispositivo che esegue l'inoltro della richiesta di accesso Authentication Server, il dispositivo che effettua il controllo sulle credenziali di accesso del supplicant ed autorizza l'accesso (un server RADIUS )RADIUS

4 Di cosa cè bisogno? un'infrastruttura di supporto, in particolare di client che supportino 802.1X switch LAN e access point wireless che possano utilizzare 802.1X un server RADIUS e un database di account (come Active Directory). Configurazione server RADIUS

5 RADIUS RADIUS (Remote Access Dial-In User Service) protocollo AAA (authentication, authorization, accounting) utilizzato in applicazioni di accesso alle reti o di mobilità IP. protocollo AAAIP RADIUS è attualmente lo standard de-facto per lautenticazione remota, prevalendo sia nei sistemi nuovi che in quelli già esistenti.

6 RADIUS: aspetti fondamentali RADIUS è un protocollo ampiamente utilizzato negli ambienti distribuiti. (router, server modem, switch ecc.)routermodemswitch Gestione di sistemi integrati con un gran numero di utenti con informazioni di autenticazione distinte RADIUS facilita lamministrazione utente centralizzata, (gestione operazioni di migliaia di utenti) amministrazione centralizzata requisito operativo.

7 RADIUS: aspetti fondamentali(2) RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli di autenticazione remota offrono una protezione intermittente, inadeguata o addirittura inesistente. sniffing Un supporto RADIUS è supportato da parte dei fornitori di hardware uniformemente. Difetto UDP

8 Configurazione RADIUS IAS Certificate Service Server Web (Apache o IIS)

9 Configurazione AP Configurazione tipologia crittografia Configurazione password o certificati Configurazione indirizzi IP

10 Configurazione client Configurazione metodo crittografia Configurazione metodo autenticazione (MD5,PEAP) Configurazione settaggi della connessione wireless

11 Funzionamento Richiesta accesso nodo wireless (WN) alle risorse di una LAN (supplicant del nodo wireless) Laccess point (AP) ne richiede lidentità. Nessun altro tipo di traffico è consentito oltre a EAP(EAPOL). Il supplicant fornisce le risposte allautenticatore (si dice che invia la propria identità) che ne verificherà le credenziali.

12 Funzionamento (2) Lautenticatore re-incapsula i messaggi EAP(formato EAPOL) in formato RADIUS, e li passa al server di autenticazione. Il server RADIUS interpreta la richiesta RADIUS confrontando lidentità del richiedente con i clients abilitati residenti nel DB. il server di autenticazione invia un messaggio di successo (o di fallimento, se lautenticazione fallisce). Lautenticatore quindi apre la porta al supplicant Dopo unautenticazione andata a buon fine, viene garantito al supplicant laccesso alle altre risorse della LAN e/o ad Internet.

13 Considerazioni 802.1x non fornisce dunque alcuna autenticazione; dare allaccess point la capacità di inoltrare le credenziali del client al server RADIUS e la relativa risposta verso il client stesso. funzionalità trova compimento implementando i protocolli RADIUS e EAP.

14 EAP protocollo utilizzato inizialmente per dial-up PPP. Lidentità era l username, ed era utilizzata lautenticazione PAP o CHAP per verificare la password dellutente. Poiché lidentità è inviata in chiaro, uno sniffer malintenzionato può venirne facilmente a conoscenza. Dopo lautenticazione si ha un tunnel TLS crittato.TLS

15 Tipologie EAP: MD5 EAP-MD5 MD5 (=CHAP) algoritmo hash a senso unico utilizzato in combinazione con un segreto condiviso e una richiesta di identificazione.MD5CHAPalgoritmohash basso livello di sicurezza PUNTI DEBOLI: ottenere la richiesta e la risposta hash tramite sniffing vulnerabile agli attacchi basati su dizionario.

16 Tipologie EAP: TLS EAP-TLS. sessione TLS (Transport Layer Security) Invio, autenticazione e convalida reciproca del certificato digitale tra il richiedente (certificato server) e il server autenticazione (certificato client) MIGLIORAMENTI: Maggiore sicurezza (rispetto allMD5)

17 Tipologie EAP: PEAP PEAP (Protected EAP). PEAP avvia la procedura come EAP: sessione TLS con il richiedente Invio (solo da parte del server) dell proprio certificato digitale per la convalida. l'autenticazione del richiedente (in Windows MS-CHAPv2) tramite account tradizionali (ID e password dell'utente o del computer). PEAP-EAP-TLS configurabile. instaura due sessioni TLS completamente separate

18 MetodoChiave dinamicaMutua autenticazioneID e pwMetodi di attaccoCommenti MD5No Sì Attacco basato su dizionario Attacco basato su dizionario Man in the middle Dirottamento di sessione Dirottamento di sessione Facile da implementare Supportato su molti server Insicuro Richiede database con testo in chiaro TLSSì NoOffre un'elevata sicurezza Richiede certificati del client Innalza i costi di manutenzione Autenticazione a due fattori con smart-card SRPSì Attacco basato su dizionario Assenza di certificati Attacco su dizionario per le credenziali Diritti di proprietà intellettuale LEAPSì Attacco basato su dizionario Soluzione proprietaria Gli access point devono supportarloaccess point

19 Metodo Chiave dinamica Mutua autenticazioneID e pwMetodi di attaccoCommenti SIMSì NoVulnerabile allo spoofingspoofing Infrastruttura basata sul roaming GSM roamingGSM Autenticazione a due fattori AKASì No Elevata sicurezza per ambienti cellulari Infrastruttura basata sul roaming GSM roamingGSM Autenticazione a due fattori SecurIDNo Man-in-the-middle Dirottamento di sessione Richiede autenticazione sotto tunnel Autenticazione a due fattori TTLSSì NoElevata sicurezza Creazione di un tunnel TLS (SSL) sicuroTLSSSL Supporta i tradizionali metodi di autenticazione: PAP, CHAP, MS-CHAP, MS-CHAP V2PAP CHAP L'identità dell'utente è protetta (crittata) PEAPSì SiElevata sicurezza Simile all'EAP-TTLS Creazione di un tunnel TLS] (SSL) sicuro L'identità dell'utente è protetta (crittata)

20 802.1x reti cablate infrastruttura adeguatamente aggiornata. (supporto 802.1X per switch e router) Ogni switch richiede un certificato digitale che presenta durante l'autenticazione rispetto ai client. (soluzione costosa certificazione aziendale Windows affidabilità interna) client stack IP che supporti 802.1X.

21 Insufficienza nelle reti cablate 802.1X è la base ideale per la protezione wireless Problemi reti cablate: Problema autenticazione della sola macchina con PEAP scadenza validità password per utente Impossibilità accesso al dominio scambio dei messaggi tra due DLL coinvolte nell'autenticazione non avviene correttamente impiego di dispositivi che non utilizzano questo standard

22 Insufficienza nelle reti cablate (2) scarsa gestibilità: nei criteri di gruppo AD, vi sono diversi oggetti Criteri di gruppo che consentono di gestire 802.1X nelle reti wireless ma non le interfacce cablate. il protocollo esegue l'autenticazione solo quando viene effettuato il collegamento. Il traffico successivo non viene e uneventuale intruso può connettersi alle risorse appartenenti alla rete protetta.

23 Insufficienza reti cablate (3) Possibile intrusione Possibile intrusione ICMP o UDP (ping ai computer della rete e ricevere un'autorizzazione DHCP--lo stesso indirizzo IP della vittima). no TCP(reimpostazione della connessione dovuta alle continue rigenerazioni di ACK e SYN) Il computer ombra invia un pacchetto SYN a un server della rete protetta. Il server restituisce il SYN-ACK, che viene ricevuto sia dall'ombra, sia dalla vittima. Il computer vittima non aspetta un segnale SYN-ACK, quindi restituisce un segnale RST. Il server restituisce un segnale RST-ACK (confermando la ricezione dell'RST e inviando il proprio) che viene ricevuto dall'ombra e dalla vittima. L'ombra non aspetta il segnale RST-ACK, ma agisce di conseguenza e termina la connessione.

24 Cosa fare?? (Reti Cablate) IPSec IPsec non impedisce a un intruso di ottenere un indirizzo IP o di comunicare attraverso la LAN (è però sufficiente disabilitare la porta dello switch corrispondente a un utente che tenta di sferrare un attacco) ma è impossibilitato ad accedere alle risorse di una LAN isolamento dei domini: miglioramenti nell'isolamento dei client e nella verifica dello stato di salute dell'infrastruttura. nuove tecnologie NAP (Network Access Protection)

25 Cosa fare?? (Reti Wireless) 802.1x USO per reti wireless, poiché la combinazione di 802.1X ed EAP crea sessioni autenticate reciprocamente con chiavi di crittografia assegnate a ciascun richiedente (ciò viene detto "WEP dinamico").

26 Grazie della Vostra attenzione


Scaricare ppt "IEEE 802.1x (Port Based Network Access Control). IEEE 802.1x standard IEEE basato sul controllo delle porte di accesso alla rete LAN e MAN. standardIEEE."

Presentazioni simili


Annunci Google