Standard 802.1x

802.1x jest otwartym standardem uwierzytelniania w sieciach WLAN. Umożliwia on centralne uwierzytelnianie bezprzewodowych użytkowników i urządzeń. Jego elastyczność pozwala na korzystanie z wielu algorytmów, a otwartość powoduje, że różni producenci mogą wprowadzać do niego innowacje. 802.1x używa protokołu uwierzytelniania znanego jako EAP (Extensible Authentication Protocol).

Uwierzytelnianie za pomocą 802.1x wykorzystuje trzy komponenty: oprogramowanie klienta, punkt dostępowy oraz serwer uwierzytelniania (zwykle RADIUS).

Punkt dostępowy po wykryciu klienta otwiera jego port. Port jest otwierany tylko dla ruchu 802.1x, pozostałe protokoły są blokowane. Następnie klient przesyła wiadomość protokołu EAP-start. W odpowiedzi na to punkt dostępowy wysyła do klienta komunikat EAP-request, aby poznać tożsamość klienta. Odpowiedź klienta EAP-response jest przekierowywana do serwera uwierzytelniającego. Jeśli uwierzytelnienie się powiedzie, serwer przesyła do punktu dostępowego odpowiednią informację. Punkt dostępowy odblokowuje wtedy pozostałe protokoły na porcie użytkownika. Port przechodzi w tryb autoryzowany.

Podczas wylogowywania klient przesyła do punktu dostępowego EAP-logoff, co powoduje zablokowanie portu (przejście w tryb nieautoryzowany).

Protokół 802.1x dla sieci bezprzewodowych 802.11 pozwala na uproszczenie zarządzania ich bezpieczeństwem w dużych ośrodkach. Ale jest tylko jednym z elementów układanki, sam w sobie nie zawiera algorytmów uwierzytelniania oraz szyfrowania danych.

Obsługa 802.1x jest wbudowana w Microsoft Windows XP oraz. NET. W przypadku innych platform systemowych nie jest już tak prosto i należy zaopatrzyć się w dodatkowe oprogramowanie.

Cisco stworzyła niestandardową wersję 802.1x, zwaną Lightweight EAP (LEAP), która jest wbudowana w sterowniki do serii bezprzewodowych kart Aironet i punktów dostępowych. Sterowniki te są dostępne dla większości platform. W przeprowadzonych testach nie stwierdzono problemów przy łączeniu urządzeń wykorzystujących LEAP i standardowy 802.1x, które wykorzystywały ten sam serwer RADIUS.

Kolejnym problemem jest wybór protokołu uwierzytelniania. Chociaż EAP pozwala na korzystanie z wielu protokołów, w praktyce wykorzystywanych jest tylko klika. W przypadku LEAP firmy Cisco można wykorzystać trzy metody: MD5, TLS oraz TTLS.

Pierwsza, najprostsza do uruchomienia i konfiguracji, jest najsłabsza, jeśli chodzi o bezpieczeństwo. W tym przypadku uwierzytelniany jest tylko użytkownik, a nie sieć. Otwiera to furtkę dla ataków typu man-in-the-middle. Wybór silniejszych od MD5 metod uwierzytelniania, jak TLS czy TTLS, wymaga zastosowania infrastruktury klucza publicznego. Podczas wyboru punktu dostępowego oraz serwera należy zwrócić uwagę, czy oprócz obsługi 802.1x wykorzystuje on również metody uwierzytelniania, których chcemy używać w naszej sieci. Ponadto należy wspomnieć, że standard 802.1x nie określa sposobów dystrybucji kluczy. Jest to uzależnione od producenta konkretnego rozwiązania.

Jedną z wad standardu 802.1x jest zastosowanie jednostronnego uwierzytelniania. Tylko klient uwierzytelnia się w punkcie dostępowym. Stwarza to możliwość podszywania się pod punkt dostępowy, który nie musi udowadniać swojej tożsamości przed klientem, i może ułatwiać ataki. Wady tej jest pozbawiony LEAP, który zapewnia dwustronne, wzajemne uwierzytelnianie.