Port Control

802.1X är en standard för portbaserad autentisering som kontrollerar vem och vad som kopplar upp sig mot våra interna nätverk. Många organisationer har stora spridningsnät i olika byggnader och på olika orter. Konsulter och gäster kan koppla upp sig till valfritt nätverksuttag och på så sätt få en olovlig tillgång till information lagrat på servrar anslutna till nätverket.

Olika koncept har provats för att motverka det här, till exempel segmentering och utökad switch-administration. Det senare kan innebära att nätverksportar låses mot en specifik MAC-adress för att sedan stängas ned om en annan MAC-adress detekteras på porten. Men lösningar som denna genererar en administrativ börda som få nätverksavdelningar mäktar med.

802.1x är ett ganska simpelt koncept som innebär att användaren avkrävs en autentisering innan han eller hon släpps in på ett nätverk. Standarden nämner tre parter för att 802.1x ska fungera, nämligen supplicant, authenticator och authentication server.

Bild 1: 802.1X/EAP standard
  • En supplicant är den klient som önskar komma in på nätverket, till exempel en dator eller en smart telefon.
  • En authenticator kan var en switch eller en åtkomstpunkt i ett trådlöst nätverk. Det är den enheten som autentiserar åtkomsten, det vill säga tillåter eller nekar åtkomst för klienten.
  • Authentication server är en central enhet som verifierar de uppgifter som klienten levererar.

I IEEE 802.1x är tanken att när en supplicant kopplar upp sig mot en authenticator, används ett datalänk-protokoll som kallas för EAP (extensible authentication protocol) som i sin tur förhandlar fram en EAP-metod för att kunna autentisera supplicant.

Bild 4: 802.1X parter

EAP är ett punkt-till-punkt-protokoll ursprungligen designat för autentisering över en seriell anslutning.

  1. EAP-ramen är därför inkapslad i en EAPOL-ram (EAP over LAN). EAP har för huvudsyfte att kapsla in autentiseringen, men även att förhandla fram rätt autentiseringsmetod (EAP-metod) mellan supplicant och authenticator.
  2. Authenticator paketerar om EAP-metoden och kapslar in den i en förfrågan mot authentication server. Oftast används protokollet RADIUS för det här, men även andra autentiseringsprotokoll.
  3. Klient/klientstation tillåts åtkomst till nätverket.

De EAP-metoder som stöds enligt 802.1x är md5-challenge, one time password och generic token card. Men många iakttog ett stort problem med standarden eftersom autentiseringen sker egentligen i klartext och stöder sig på redan fysiskt säkrade förbindelser.

Det här har lett till att säkrare EAP-metoder har tagits fram och att leverantörer som Cisco, Microsoft och RSA tagit fram en egen standard som tillägg till 802.1x. Till exempel har ett flertal lösningar utvecklats där EAP utökas med olika typer av krypteringslösningar. Som gemensamma nämnare bygger samtliga utökningar på att autentiseringsinformationen krypteras och att certifikat och/eller kryptonycklar måste delas ut till användare och utrustning.

Utökningarna anslöts till standarden i form av EAP-metoder. Det största ingreppet gjordes av Microsoft, Cisco och RSA. EAP-metoder byggs upp med undermetoder som kallas Protected EAP, PEAP.

Ett annat sätt att skydda kommunikationen bygger på att EAP-metoderna i sig skulle fungera med andra säkra protokoll. Som exempel på sådana EAP-metoder kan vi nämna EAP-TLS och EAP-TTLS, vilka båda är PKI-baserade och innebär att klienten måste utrustas med krypteringsnycklar och klientcertifikat.

PSK autentisering

PreShared Key eller PSK är ett alternativ till enklare nätverkstopologier medan 802.1x/EAP är avsedd till stora nätverksmiljöer där en Radius server är tillgänglig. WPA/WPA2-personal använder PSK autentisering medan WAP/WP2-Enterprise använder 802.1X/EAP.

WPA är en förkortning för Wi-Fi® Protected Access och är en datakrypteringsspecifikation som används för trådlösa lokala nätverk. Det är en förbättring av säkerhetsfunktionerna i WEP och använder EAP-protokollet (Extensible Authentication Protocol) för att skapa en säker åtkomst till nätverket och en krypteringsmetod för säkra dataöverföringar.

WPA är utvecklat för att användas med en 802.1X-autentiseringsserver som distribuerar olika nycklar till varje användare. Det kan även användas i ett mindre säkert läge, PSK (Pre-Shared Key). PSK är avsett för nätverk i hem och på mindre kontor där alla användare har samma lösenfras. WPA-PSK kallas även för WPA-Personal.

TKIP (förkortning för Temporal Key Integrity Protocol) är en krypteringsmetod. TKIP ger en ny nyckel till varje paket genom att kombinera meddelandeintegritet med en dynamisk nyckelmekanism.

AES (förkortning för Advanced Encryption Standard) är en stark, Wi-Fi®-auktoriserad krypteringsstandard.

WPA-PSK/WPA2-PSK och TKIP eller AES använder en PSK-nyckel (Pre-Shared Key) som består av fler än 8 och maximalt 63 tecken.