|
Wireless LAN e tecniche di autenticazione 802.1x |
|
|
|
Pagina 4 di 12
L'autenticazione in 802.1x avviene
attraverso il protocollo EAP (Extensible Authentication Protocol); questo
protocollo permette di negoziare differenti schemi di autenticazione tra il
supplicante ed il server. I piu' utilizzati tra gli schemi permessi sono MD5,
TLS, TTLS, LEAP, PEAP, SecurID, SIM, e AKA. Tra questi i piu' famosi sono:
EAP-MD5 offre un autenticazione basata
su un algoritmo di hash one-way viene usato in combinazione ad uno Shared
secret e un challenge. presenta diversi svantaggi tra i quali l'assenza della
mutua autenticazione rendendo possibile l'inserimento di falsi access point
EAP-TLS sostituisce la password con
una autenticazione sicura basata sui certificati digitali X.509; supporta
l'autenticazione mutua ovvero la verifica incrociata del server e del  Client,
che garantisce una sicurezza in pi per quanto riguarda l'inserimento di falsi
access point. TLS e' lo standard piu' sicuro e diffuso per l'autenticazione di
tipo 802.1x
EAP-LEAP implementazione propietaria
di EAP da parte di Cisco permette autenticazione basata su coppie
username-password ma e' un protocollo che sta cadendo in disuso in quanto
anche la casa proprietaria si sta orientando sul piu' sicuro TLS
EAP-TTLS estensione di TLS creata per
evitare la necessita' di utilizzare certificati per i client. L'autenticazione
avviene in due fasi: nella prima fase viene creato un tunnel sicuro tra il
server e i l client mentre nella seconda il client viene autenticato
utilizzando un protocollo qualsiasi che viene incapsulato nella connessione
sicura
Struttura
della rete 802.1x
L'autenticazione 802.1x avviene mediante
l'utilizzo di un server radius. il radius puo' permettere l'autenticazione di
una piccola rete con un solo access point ma puo' gestire anche l'autenticazione
di molti AP; supporta inoltre il proxing: in questo modo e' possibile costruire
una rete gerarchica in cui le singole sottoreti demandano l'autenticazione ad un
server centrale oppure e' possibile far comunicare tra loro i server di una rete
dotata di diversi database.
Radius (Remote
Authentication Dial-In User Service) e' un servizio di sicurezza per autenticare
e autorizzare utenti, cosi' come illustrato dal nome stesso. La piu' importante
caratteristica di Radius e' separare il server di comunicazione chiamato NAS
(nella rete Wi-Fi sono gli AP) dal server di autenticazione. Cio' consente di
strutturare la rete di NAS in modo che l'autenticazione sia svolta su un unico
database, vantaggio fondamentale quando si tratta di gestire migliaia di utenti;
e' inoltre possibile come gia descritto effettuare autenticazione remota
effettuando il proxyng delle richieste verso un altro server Radius. I dati
degli utenti possono essere conservati su un database o localmente sui file di
configurazione del server (non e' consigliato dal momento che sono in chiaro);
e' altresi' possibile autenticarsi sfruttando gli utenti di una macchina linux
locale. Il compito del radius e' quindi ristretto all'autenticazione; i servizi
all'utente vengono offerti dal NAS. Proprio nel campo Wi-Fi questa e' un'
importante feature dal momento che anche se superata la debole crittatura wep,
un intruso che abbia accesso all'access point non e' in grado di usufruire dei
servizi di rete se non autenticato. Radius inoltre e' un protocollo aperto ed e'
descritto nelle RFC 2139 e 2865 Cio' ha permesso che il server trovasse una
completa espressione opensource: freeradius (http://www.freeradius.org).
|
Guide sul Wireless 
