802.1x är en standard för portbaserad autentisering som skulle bli frälsningen för nätverksäkerheten. Det är fortfarande protokollet som alla pratar om, och det återfinns i storskaliga trådlösa nät, men tillämpas sällan i trådade lösningar. Hur kommer det sig? Det ska vi försöka reda ut.


Ständigt kontrollbehov
Det har länge funnits ett behov att kontrollera vem och vad som egentligen kopplar upp sig mot våra interna nätverk. Många organisationer har stora spridningsnät i olika byggnader och på olika orter. Konsulter och gäster kan koppla upp sig till valfritt nätverksuttag och på så sätt få en olovlig tillgång till information lagrat på servrar anslutna till nätverket.

Olika koncept har provats för att motverka det här, till exempel segmentering och utökad switchadministration. Det senare kan innebära att nätverksportar låses mot en specifik mac-adress för att sedan stängas ned om en annan mac-adress syns på porten. Men lösningar som denna genererar en administrativ börda som få nätverksavdelningar mäktar med. En lösning där endast tillåtna användare och datorer skall få tillgång till nätverket ses därför som ständigt eftersträvansvärt för att förbättra den interna nätverksäkerheten. Många förväntades sig att det här var precis vad 802.1x skulle göra.


Ett simpelt koncept
802.1x är ett ganska simpelt koncept som innebär att användaren avkrävs en autentisering innan han eller hon släpps in på ett nätverk. Standarden nämner tre parter för att 802.1x ska fungera, nämligen supplicant, authenticator och authentication server.
En supplicant är den klient som önskar komma in på nätverket, till exempel en dator eller en smart telefon.

En authenticator kan var en switch eller en accesspunkt i ett trådlöst nätverk. Det är den enheten som autentiserar åtkomsten, det vill säga tillåter eller nekar åtkomst för klienten.
Authentication server är en central enhet som verifierar de uppgifter som klienten levererar.

I IEEE 802.1x är tanken att när en supplicant kopplar upp sig mot en authenticator, används ett datalänksprotokoll som kallas för eap (extensible authentication protocol) som i sin tur förhandlar fram en eap-metod för att kunna autentisera supplicant.
Eap är ett punkt-till-punkt-protokoll ursprungligen designat för autentisering över en seriell anslutning. Eap-ramen är därför kapslad i en eapol-ram (eap over lan). Eap:s huvudsyfte är att kapsla in autentiseringen, men även att förhandla fram rätt autentiseringsmetod (eap-method) mellan supplicant och authenticator. Authenticator paketerar om eap-metoden och kapslar in den i en förfrågan mot authentication server. Oftast används protokollet radius för det här, men även andra autentiseringsprotokoll mellan authenticator och authentication server lär ha stöd.

De eap-metoder som stöds enligt 802.1x är md5-challenge, one time password och generic token card. Men som med många standarder började IETF ta fram egna standardiseringsförslag för att lösa tillkortakommanden med 802.1x, vilket i sin tur skapat heterogenitet och interoperabilitetsproblem för de produkter som tagits fram.


Ett felaktigt antagande
Många iakttog redan när 802.1x lanserades ett stort problem med standarden. All autentiseringskommunikation, det vill säga eap och eap-metod, sker okrypterat. IEEE hade nämligen vid framtagningen av 802.1x gjort antagandet att all autentisering sker över redan fysiskt säkrade förbindelser.

Det här har lett till att säkrare eap-metoder har tagits fram och att leverantörer som Cisco, Microsoft och RSA tagit fram en egen standard som tillägg till 802.1x. Till exempel har ett flertal lösningar utvecklats där eap utökas med olika typer av krypteringslösningar. Som gemensamma nämnare bygger samtliga utökningar på att autentiseringsinformationen krypteras och att certifikat och/eller kryptonycklar måste delas ut till användare och utrustning.

Utökningarna anslöts till standarden i form av eap-metoder. Det största ingreppet stod Microsoft, Cisco och RSA för där de skapade en eap-metod med submetoder kallad protected eap, peap. Den övergripande metoden skyddar sessionen medan submetoderna bestämmer autentiseringsmekanism. Peap som standard är än så länge ett IETF-utkast, men det är den metod som stöds av Microsoft Windows.

Ett annat sätt att skydda kommunikationen byggde på att metoderna i sig skulle fungera på ett säkert sätt. Som exempel på sådana eap-metoder kan vi nämna eap-tls och eap-ttls, vilka båda är pki-baserade och innebär att klienten måste utrustas med krypteringsnycklar och klientcertifikat.


Vad är 802.1x?

802.1x är ett protokoll för portautenticering – med port menas till exempel en nätverksport på en switch eller en anslutning till ett trådlöst nät. Syftet med protokollet är att skydda nätverket från obehöriga användare eller obehörig utrustning. Nackdelen med 802.1x är att det har så många företagsanpassade påbyggnader att det i vissa situationer kan bli svårt att få produkter från olika leverantörer att fungera tillsammans.


Sida 1 / 2

Innehållsförteckning