监测802.1X EAP:你需要知道的
2020年10月27日

首先第一个

正如ab视讯下注之前所写的那样, 加密网络中使用的标准认证协议是 可扩展认证协议(EAP),它提供了一种安全的方法来发送识别信息以进行网络身份验证. 802.1x是用于通过有线和无线局域网(LAN)传递EAP的标准。, 因为它提供了一个加密的EAP隧道,防止外部用户拦截信息. EAP协议可以配置为证书(EAP- ttls /PAP和PEAP-MSCHAPv2)和数字证书(EAP- tls)身份验证,是一种高度安全的保护身份验证过程的方法.

在本文中,ab视讯下注将介绍如何监视802.1X EAP以及为什么从网络安全的角度来看这样做很重要.

 

MAC认证旁路(MAB)

MAB通过终端的MAC地址实现基于端口的访问控制. 开启单抗的端口可以根据连接设备的MAC地址动态开启或关闭. 下图说明了启用单抗的端口的默认行为.

会话初始化

从开关的角度来看, 当交换机检测到某个端口上有连接时,认证会话开始. 交换机将通过向端点发送EAP请求-身份消息来发起身份验证. 如果交换机没有收到响应, 交换机将定期重传请求. 如果在最大重试次数之后没有收到响应,开关将让IEEE 802.1X超时,进行单抗.

 

MAC地址学习

在MAC地址学习阶段, 交换机通过打开端口来接受一个单包来开始单抗,它将从这个单包学习端点的源MAC地址. 端口之前发送的数据包已经回到MAB状态(即在ieee802过程中).1X超时阶段)将被立即丢弃,不能用于MAC地址学习.

交换机几乎可以使用任何二层和三层报文来学习MAC地址, 除了桥接帧,如链路层发现协议(LLDP), 生成树协议, 和动态集群协议(DTP). 1

当交换机学习到源MAC地址后,丢弃该报文. 然后,交换机手工处理一个RADIUS访问请求报文. 下面的快照显示了一个MAB RADIUS访问请求样例包.

 

默认情况下, Access-请求消息是一个PAP (Password Authentication Protocol)认证请求, 源MAC地址包含三个属性:属性1(用户名), 属性2(密码), 属性31 (Calling-Station-Id). 虽然每个属性的MAC地址是相同的,但是地址的格式不同. 这个特性非常重要,因为不同的RADIUS服务器可能使用不同的属性来验证MAC地址. 一些RADIUS服务器可能只查看属性31(主叫站id), 而其他人则会验证属性1和属性2中的用户名和密码.

因为MAB使用MAC地址作为用户名和密码, 应该确保RADIUS服务器能够区分MAB请求和其他类型的网络访问请求. 此预防措施将防止其他客户端试图使用MAC地址作为有效凭证. 思科交换机通过在单抗访问请求消息中将属性6 (Service-类型)设置为10 (Call-Check)来唯一识别单抗请求. 因此可以使用属性6对RADIUS服务器上的单抗请求进行过滤.

 

会议授权

如果MAC地址有效,RADIUS服务器将返回RADIUS Access-Accept消息. 此消息向交换机指示应允许端点访问端口. (可选), RADIUS服务器可能包含动态网络访问策略指令(例如, 动态VLAN或访问控制列表[ACL]). 在没有动态策略指令的情况下,交换机将简单地打开端口. 如果MAB成功,将不再尝试进一步的身份验证方法.

如果MAC地址无效或由于策略原因不允许访问网络, RADIUS服务器将返回一个RADIUS访问拒绝消息. 此消息指示交换机不允许基于MAC地址的端点访问端口.

如果没有配置回退认证或授权方式, 交换机将停止认证过程,端口将保持未授权状态.

 

会话会计

是否成功应用授权策略, 交换机可以向RADIUS服务器发送RADIUS Accounting-请求消息,提供授权会话的详细信息.

 

在上面的图表中,发送的第一个帧是EAPOL-Start帧. 这个框架不是关键的, 该过程可以由发送eap请求帧的验证方启动.

接下来,请求者用EAP-响应响应. 从认证方到Radius服务器的消息使用Radius协议(UDP 1812用于认证)当认证方从Radius服务器收到一个access - accept包时,它将授权该端口并允许被请求方访问. 如果Radius服务器拒绝访问,将发送一个访问拒绝消息给认证方,端口将保持未授权状态.

请求方可以通过向验证方发送EAPOL-logoff帧来终止端口的认证.

 

乞求者 身份验证(EAPoL)

这种通信方法在网络访问之前为验证者和客户端提供一条通信线. 这是捕获的样子:

通信的EAPoL部分将根据身份验证类型而不同. 在我的例子中,ab视讯下注使用EAP-PEAP和EAP-MsCHAPv2. 这是一种相当标准的身份验证形式.

通常可以从pcap派生出的有用部分有:

在此框架中,你可以看到客户(申请人)的身份被用于"Vova.Halimon“. 当试图确定请求者是作为用户还是作为机器帐户进行身份验证,以及用户可以在用户名提示中输入什么时,这非常有用.

有关EAP类型的更多信息, 访问IANA EAP注册表.

EAP-TLS(证书)

EAP认证方法协商和证书交换:

上面截图中的第一条消息是服务器提出的EAP-PEAP (EAP-TLS)方案, EAP-ttl EAP-FAST, EAP-飞跃, EAP-MD5),然后用, " EAP-PEAP对我有好处"在某些情况下, 这取决于RADIUS服务器的配置, 客户端可能试图提出服务器不允许或不支持的方法. 在这里,您将看到协商失败,并最终出现访问-拒绝/ eap -失败.

EAP成功(有线 & 无线) & 4路握手(无线):

EAP代码 类型
1 请求
2 响应
3 成功
4 失败

 

一旦客户端成功通过身份验证和授权, 返回一条EAP 成功消息,表示流程结束. 如果这是一个有线客户端, 这个过程结束了, 客户端能够开始传输和接收数据帧. 如果这是无线客户端, 站将利用一些EAP属性,AP将利用两个MPPE(微软点对点加密密钥属性在RADIUS访问-接受响应中执行4次握手并创建加密密钥以进行安全通信.

EAP (Extensible Authentication Protocol)认证类型

  • MD5 通常不使用,因为它只进行单向身份验证, 更重要的是,它不支持WEP密钥的自动分配和轮换,因此无法减轻手工WEP密钥维护的管理负担.
  • TLS,虽然非常安全,但需要在每个Wi-Fi工作站安装客户端证书. 除了维护WLAN本身,维护PKI基础设施还需要额外的管理专业知识和时间.
  • ttl 采用隧道TLS方式解决证书问题, 从而消除了对客户端证书的需要. 这通常是首选的选择. Funk Software*是ttl的主要推动者, 申请和认证服务器软件是要收费的.
  • 飞跃 拥有最长的历史, 虽然之前思科专有(仅适用于思科Wi-Fi适配器), 思科已经通过他们的思科兼容扩展计划将飞跃授权给其他各种制造商. 当使用飞跃进行身份验证时,应该强制执行强密码策略.
  • EAP-FAST 现在是否可用于不能实施强密码策略且不想部署证书进行身份验证的企业.

最新的PEAP与EAP-ttl工作方式类似,因为它不需要客户端证书. PEAP由思科和微软支持,微软不需要额外付费. 如果希望从飞跃过渡到PEAP, Cisco的ACS身份验证服务器将同时运行两者.

EAP-TLS例子

然而,在这个图中,您可以看到客户端和服务器协商EAP-PEAP. 一旦完成,服务器将向客户端提供它的证书. 如果客户端不信任来自服务器的证书, 用户不接受该证书(终端用户可能会看到一个信任该证书的对话框), 交换将在握手的第一帧或两帧后失败.

在这种情况下, 然而, 客户端信任服务器端证书, 两个端点用TLS隧道保护该介质. 一旦安全,您应该注意到协议变成纯粹的TLS,因为流量是加密的, ab视讯下注只能看到这些帧是" 应用程序 Data ". 这是客户端和服务器交换内部身份验证数据(如EAP-MsCHAPv2或EAP-TLS)的点.

原文: Portnox

职位:siteadmin
更多的文章 网络安全
友情链接: 1 2 3 4 5 6 7 8 9 10