Porovnání metod EAP a slabiny 802.1x

Po nahlédnutí na práci protokolu EAP a na množství autentizačních metod, které jsou k dispozici, je potřeba zjistit, ...


Po nahlédnutí na práci protokolu EAP a na množství autentizačních metod, které
jsou k dispozici, je potřeba zjistit, do jakého prostředí se který způsob hodí.
Kdy se tedy na 802.1x nelze plně spolehnout?
Implementace EAP Různé implementace EAP mohou pracovat na několika úrovních:
n Nižší vrstva zodpovědná za přenos EAP rámců mezi klientem a autentizátorem
(EAP běží nad PPP, LAN podle 802, UDP, TCP).
n EAP vrstva přijímá a vysílá pakety EAP prostřednictvím nižší vrstvy,
implementuje duplicitní detekci a opětovný přenos, přijímá a vysílá zprávy z/do
EAP metod.
n EAP metoda implementuje autentizační algoritmus a přijímá/vysílá EAP zprávy
prostřednictvím EAP vrstvy. Porovnání hlavních vlastností jednotlivých metod
EAP uvádí tabulka. Jednodušší a méně bezpečné metody EAP mají své zásadní
slabiny: EAP-MD5 je náchylné k man-in-the-middle (MITM) útokům vůči AP, protože
chybí autentizace AP či serveru vůči klientovi. LEAP podporuje pouze
jednosměrnou autentizaci, a navíc je závislá na MS-CHAPv2 pro autentizaci
uživatele. Lze proto zrealizovat útoky na hesla buď hrubou silou, nebo
vylepšeným slovníkovým útokem.
Metody využívající tunely také nejsou zcela bez bezpečnostních problémů.
Nebezpečím u tunelovacích metod jako PEAP či EAP-TTLS je případ, kdyby se
nezabezpečené informace, které mají být přenášeny tunelem (zabaleny do vnějšího
paketu), místo toho přenesly sítí v otevřené podobě. Stačí jednou a útočník
může snadno odposlechnout uživatelské heslo. Může se tak stát v případě
nějakých starších serverů na síti nebo kvůli špatné konfiguraci klienta. Dalším
potenciálním útokem na tunelovací protokoly je MITM: útočník se může umístit
mezi server a klienta a vydávat se vůči nim za legitimní protistranu. Útoky na
802.1x
Jako asymetrický protokol (pouze jednosměrná autentizace klienta vůči síti,
nikoli obráceně) je 802.1x otevřený vůči útokům MITM a únosům relací, útokům
vedoucím k odmítnutí služby (DoS, Denial-of-Service), případně vůči krádeži
identity, pokud identifikační údaje nejsou dobře chráněny. DoS útoky vůči EAP:
n Záplava rámců EAPOL-Start zahlcení přístupového bodu.
n Vyčerpání identifikátorů EAP (0-255) identifikátor musí být jedinečný na
daném portu. n Urychlené vyslání rámce EAP-Success vzájemná autentizace má být
provedena kompletně a předčasné udělení přístupu svědčí o falešném AP (správně
implementovaný žadatel nepodlehne zahlcení těmito rámci od falešného
autentizátora). n Falšování rámců EAP-Failure správně implementovaný žadatel má
ignorovat rámce od falešného autentizátora, které nespadají do správného
postupu 802.1x výměny rámců. Rámec EAP-Failure má být následován rámcem pro
deassociation (některé prostředky útočníků dokáží limitovat i toto chování,
např. File2air). n Chybné rámce EAP rámce s chybou v parametrech mohou shodit i
RADIUS. Řešením je výběr vhodné metody autentizace: některé nabízejí vzájemnou
autentizaci klienta proti útokům MITM a tunelovací metody chrání přenášené
identifikační údaje. I RADIUS má své slabiny, proto je třeba použít dostatečně
kvalitní hesla, která budou pro každý přístupový bod jiná. Dynamické klíče sice
zmenšují nedostatky WEP, přesto ale může docházet k narušení integrity
přenášených zpráv nebo k jejich falšování, aniž by si toho uživatel musel
povšimnout.
Ochrana přenášených dat
Zabezpečení přenášených dat je stejně důležité jako autentizace, protože i mezi
nepříliš citlivými daty (obsah webových stránek, e-mail) mohou být hesla pro
přístup k elektronické poště, adresy serverů v intranetu apod. Dynamické klíče
podle 802.1x jsou známy pouze dané stanici, mají omezenou životnost a používají
se k šifrování rámců na daném portu, dokud se stanice neodhlásí nebo neodpojí.
Dynamičnost klíčů omezuje možnosti vetřelců, protože i při odposlechu klíče
jeho zlomení může trvat déle než samotná relace. Dynamické klíče sice zmenšují
nedostatky WEP, ale přesto může docházet k narušení integrity přenášených zpráv
nebo k jejich falšování, aniž by si toho uživatel všiml. Takže i když 802.1x má
zlepšit bezpečnost bezdrátové komunikace, rozhodně nenahrazuje WEP, ale
spolupracuje s ním. V příštím dílu se blíže podíváme na středně silné řešení
zabezpečení Wi-Fi s označením WPA (Wi-Fi Protected Access), které využívá i
802.1x EAP. Autorka je nezávislá specialistka v oblasti propojování
komunikačních sítí a školitelka. Napsala řadu publikací, mimo jiné i Bezpečnost
bezdrátové komunikace (ISBN 80-251-0791-4).(pat) 6 1580
Porovnání hlavních metod autentizace EAP
Na báziNa bázi certifikátů
EAP-MD5 (tradiční)hesla LEAPEAP-TLS, EAP-TTLS, PEAP
Vzájemná autentizaceneanoano
Bezpečnostnízkástřednívysoká
Imunní vůči pouze s dlouhými, adresářovým útokůmnáhodně generovanými heslyneano
Produkuje relační klíčeneanoano
Bezpečnost identifikačních údajů (credentials)žádnánízkávysoká
Autentizace uživatele, nikoli s dlouhými, ne, pokud je certifikát nikoli
zařízenínáhodně generovanými heslyanouložen na disku
Rychlost a výkonnostvysokávysokánízká
Administrativní náklady nízkénízkévysoké
jen pokud je certifikát Pohodlné pro uživateleanoanouložen na disku
Podpora na APanone (firemní Cisco)ano
Rychlá reautentizacene, přes domácí doménuneano
Pozn.: Mezi zbrusu nové metody EAP schválené IETF patří EAP-PAX (Password
Authenticated eXchange, RFC 4746) a EAP-SAKE (Shared-secret Authentication and
Key Establishment, RFC 4763).
802.1x: Implementační tipy
nĘPrověřit podporu na AP pro 802.1x a jednotlivé metody autentizace: Podpora
musí být pokud možno jednotná, přitom možných kombinací u zařízení od různých
výrobců je celá řada. V tomto směru je slučitelnost mezi produkty (AP a
autentizačními servery) velice důležitá, protože jen částečné použití 802.1x
není ideální s pečlivým plánováním lze tuto situaci řešit, ale část sítě bez
podpory 802.1x je potřeba sdružit do virtuální LAN (VLAN) a celou oddělit
prostřednictvím firewallu. Většina nových produktů má zabudovanou podporu pro
802.1x (horší je situace u klientů, zejména PDA, Mac OS apod.).
nĘPrověřit podporu autentizačního serveru pro 802.1x a autentizačních metod:
RADIUS již může být součástí infrastruktury a podporovat VPN. Pokud
autentizační server chybí, je potřeba zvážit investici do serveru či jeho
modernizace. nĘPrověřit možnost propojení s LDAP adresářem (např. eDirectory
nebo Active Directory): Úložiště identifikačních údajů uživatelů tak lze
napojit na RADIUS server, ovšem pouze s využitím tunelovacích metod autentizace
(např. EAP-TTLS, PEAP), aby se autentizační informace LDAP nepřenášely v síti v
otevřené formě.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.