Explicación detallada del protocolo 802.1x, principio de funcionamiento/proceso de autenticación del protocolo 802, autenticación MAB, formato de mensaje EAP

News 2023-10-27 17:15:34 views: null

"Página de inicio del autor": Shibie Sanri wyx
"Acerca del autor": CSDN top100, experto en blogs de Alibaba Cloud, experto en Huawei Cloud Sharing, creador de alta calidad en el campo de la seguridad de la red
"Columna recomendada": los amigos que estén interesados ​​en la seguridad de la red pueden siga la columna "Principiante a maestro en seguridad de red"

protocolo 802.1x

En el protocolo IEEE802LAN anterior, siempre que el usuario pueda "acceder a la LAN" , puede "acceder" a los recursos de la LAN. Por ejemplo, si conecto un cable de red al conmutador, puedo acceder a la red. Esto es un " riesgo de seguridad"

Para solucionar el problema de seguridad surgió el protocolo 802.1x.

1. ¿Qué es el protocolo 802.1x?

El protocolo 802.1x es un "protocolo de autenticación y control de acceso" basado en puertos que funciona en la capa de enlace de datos y se utiliza para restringir el acceso de usuarios/dispositivos no autorizados a LAN/WLAN a través de puertos de acceso.
De esta manera, si conecto directamente el cable de red al conmutador, no podré acceder a la red, pero primero debo autenticarme/autorizarme.

El protocolo 802.1x divide cada puerto de acceso físico en dos "puertos lógicos" , que son controlables e incontrolables , logrando así la separación de negocios y autenticación.

  • El "puerto incontrolable" siempre está en un estado de conectividad bidireccional y solo recibe mensajes EAP, lo que garantiza que el cliente pueda enviar/recibir "mensajes de autenticación" . Controle el estado de autorización de los puertos controlables a través de los resultados de autenticación (Aceptar/Rechazar).
  • El "puerto controlable" no recibe ningún mensaje de forma predeterminada y solo se puede utilizar para transmitir "mensajes comerciales" después de pasar la autenticación .

2. Arquitectura 802.1x

El protocolo 802.1x adopta una arquitectura C/S y consta de tres partes : "cliente" , "dispositivo de acceso" y "servidor de autenticación" .

Insertar descripción de la imagen aquí

  • "Cliente" (Sistema solicitante): Equipo terminal de usuario, instala el cliente 802.1x e inicia la autenticación 802.1x.
  • " Sistema de acceso a la red": equipos de red, como conmutadores, que proporcionan puertos (puertos físicos/puertos lógicos) para que los clientes accedan a la red.
  • " Sistema de servidor de autenticación": servidor Radius, que guarda la información de autenticación del usuario y autentica al usuario.

Extensiones:

  • El sistema de autenticación (Authenticator System) también se llama NAS (Network Access System) y, para facilitar la comprensión, en este artículo se utilizan dispositivos de acceso.

3. Activar autenticación

Cuando los usuarios acceden a Internet, abren el cliente 802.1x e ingresan su nombre de usuario y contraseña para la autenticación. Solo aquellos que pasan la autenticación pueden acceder a la red y aquellos que fallan la autenticación no pueden acceder a la red.

La autenticación 802.1x puede ser "iniciada por el cliente" o "iniciada por el dispositivo de acceso" .

  • "Iniciado por el cliente" : utilice el software del cliente para enviar un mensaje de inicio EAPOL al dispositivo de acceso para activar la autenticación.
  • "El dispositivo de acceso inicia activamente" : se utiliza en escenarios donde el cliente no puede enviar mensajes EAP de forma activa.

"El dispositivo de acceso se inicia activamente" tiene dos métodos de activación específicos:

  • Activador de mensaje DHCP: después de recibir la solicitud DHCP del cliente, el dispositivo de acceso inicia activamente la autenticación 802.1x para el usuario. Esto solo se aplica a escenarios en los que el cliente usa DHCP para asignar direcciones IP automáticamente. Debido a que los mensajes de solicitud DHCP se envían en forma de transmisiones y pueden ser recibidos por dispositivos en el mismo segmento de red, el dispositivo de acceso no es necesariamente el servidor DHCP.
  • Activado por un mensaje con una dirección MAC de origen desconocida: cuando el dispositivo de acceso recibe un mensaje con una dirección MAC de origen desconocida, inicia activamente la autenticación 802.1x para el usuario. Si no recibe una respuesta del cliente dentro del tiempo especificado, reenvía el mensaje.

Independientemente del método de activación, se utilizará el protocolo EAP para intercambiar información de autenticación.

4. Principio de funcionamiento/proceso de certificación


Insertar descripción de la imagen aquí

Después de que se activa la autenticación, el protocolo 802.1x inicia la autenticación. Aquí hay una explicación del proceso de autenticación en el modo de retransmisión ERP (para facilitar la comprensión, el dispositivo de acceso se reemplaza por un conmutador; el servidor de autenticación se reemplaza por un servidor Radius). :

1) Cuando un usuario accede a la red, el cliente envía ( EAPOL-Start ) al conmutador para habilitar la autenticación 802.1x.

2) Después de recibir la solicitud, el conmutador envía una solicitud ( EAP-Solicitud/Identidad ) al cliente , pidiéndole que envíe el nombre de usuario.

3) Después de recibir la solicitud, el cliente envía una respuesta ( EAP-Respuesta/Identidad ) al conmutador y, al mismo tiempo, pasa el nombre de usuario al conmutador.

4) El conmutador encapsula el mensaje de respuesta del cliente (intacto) en un mensaje Radius ( RADIUS Access-Request ) y lo envía al servidor Radius.

5) Una vez que el servidor de autenticación lo recibe, extrae el nombre de usuario que contiene, consulta la lista de nombres de usuario en la base de datos para obtener la contraseña correspondiente, genera aleatoriamente una palabra de cifrado (Desafío MD5) para cifrar la contraseña y luego encapsula la palabra de cifrado. en un mensaje de radio ( RADIUS Access-Challenge ) se envía al conmutador.

6) Después de recibirlo, el conmutador envía la palabra cifrada al cliente ( EAP-Request/MD5 Challenge ).

7) Después de recibir la palabra cifrada, el cliente utiliza la palabra cifrada para cifrar la contraseña MD5 y luego envía la contraseña cifrada ( EAP-Response/MD5 Challenge ) al conmutador.

8) Luego, el conmutador lo encapsula en un mensaje Radius ( RADIUS Access-Request ) y lo envía al servidor Radius.

9) El servidor Radius compara la contraseña de cifrado recibida con la contraseña de cifrado que generó. Si son iguales, envía un mensaje de autenticación ( RADIUS Access-Accept ) al conmutador.

10) El conmutador desencapsula el mensaje de radio recibido y lo envía al cliente ( EAP-Success ), y cambia la autorización del puerto al estado autorizado, permitiendo al usuario acceder a la red a través de este puerto. Una vez pasada la autenticación, DHCP asigna una dirección IP.

11) El conmutador enviará periódicamente mensajes de "apretón de enlace" al cliente para detectar el estado en línea del usuario. El cliente envía un mensaje de respuesta para indicar que está en línea; si no hay respuesta a dos mensajes de protocolo de enlace consecutivos, el usuario estará desconectado.

12) El cliente puede solicitar activamente "desconectarse" y enviar tramas ( EAPOL-Logoff ). Después de recibirlo, el conmutador cambia el estado del puerto a no autorizado y envía un mensaje ( EAP-Failure ) al cliente para confirmar que el cliente está fuera de línea.

5. Método de certificación


Además de la "retransmisión ERP" mencionada anteriormente , los métodos de autenticación del protocolo 802.1x también incluyen la "terminación ERP" . La diferencia entre los dos métodos es que la ubicación de la contraseña cifrada es diferente.
  • "ERP Relay" : el servidor de autenticación (radio) genera una palabra cifrada (MD5 Challenge) y cifra la contraseña, el conmutador solo actúa como intermediario para reenviar mensajes.
  • "Terminación de ERP" : el dispositivo de acceso (interruptor) genera una palabra cifrada (Desafío MD5) y cifra la contraseña, y luego envía el nombre de usuario, la palabra cifrada y la contraseña cifrada al servidor de autenticación para el procesamiento de autenticación.

Insertar descripción de la imagen aquí

5.1 Certificación MAB

MAB (Mac Address Bypass) también se denomina autenticación de direcciones MAB o lista blanca de direcciones Mac.
Debido a que la autenticación 802.1x requiere que el terminal ingrese la cuenta y la contraseña, pero los "terminales tontos", como las impresoras , no pueden ingresar la cuenta y la contraseña, la dirección Mac se usa como nombre de usuario y contraseña para la autenticación.

1. Primero recopile la "dirección Mac" del dispositivo y guárdela en el servidor Radius.

2. Cuando el dispositivo se conecta a la red, la dirección Mac se reenvía al servidor Radius a través del conmutador. Si la hay accede a la red, si no, el acceso está prohibido.

Extensiones:

  • "Terminal tonta MAB" se refiere a un dispositivo que no puede ingresar una contraseña de cuenta y no tiene una interfaz interactiva, como impresoras, escáneres y teléfonos IP.

6. Formato de mensaje del protocolo EAPOL

EAPOL (EAP sobre LAN) es un formato de encapsulación de paquetes definido por el protocolo 802.1X, que puede transferir información del usuario entre el cliente y el NAS, lo que significa que los paquetes del protocolo EAP pueden transferirse directamente en el entorno LAN.

Insertar descripción de la imagen aquí

Análisis de campo:

  • Tipo de Ethernet PAE: 2 bytes, tipo de protocolo Ethernet, el tipo de protocolo asignado por 802.1x es 0x888E.
  • Versión de protocolo: 1 byte, el número de versión del protocolo utilizado por el remitente.
  • Tipo de paquete: 1 byte, tipo de trama de datos EAPOL.
  • Longitud del cuerpo del paquete: 2 bytes, la longitud del campo de datos (Cuerpo del paquete). Cuando el tipo de paquete es EAPOL-Inicio o EAPOL-Cierre de sesión, el valor de este campo es 0.
  • Cuerpo del paquete: contenido de datos.

Tipo de trama de datos EAPOL (tipo de paquete):

  • Paquete EAP (valor 0x00): marco de información de autenticación. El marco se vuelve a encapsular en un mensaje Radius en el dispositivo de acceso y se envía al servidor Radius.
  • EAPOL-Start (valor 0x01): Trama de inicio de autenticación, solo existe entre el cliente y el dispositivo de acceso.
  • EAPOL-Logoff (valor 0x02): marco de solicitud de salida, solo existe entre el cliente y el dispositivo de acceso.
  • EAPOL-Key (valor 0x03): marco de información clave, que cifra los mensajes EAP (solo para acceso inalámbrico).

7. Formato de mensaje del protocolo EAP

El protocolo 802.1X utiliza EAP (Protocolo de autenticación extensible, Protocolo de autenticación extensible) para realizar la transferencia de información de autenticación entre el cliente, NAS y el servidor de autenticación.

Cuando el valor del campo Tipo de paquete del mensaje EAPOL es 0000 0000, indica que el campo Cuerpo del paquete encapsula un paquete de datos EAP.

Insertar descripción de la imagen aquí
Análisis de campo:

  • Código: 1 byte, tipo de trama EAP, (Solicitud, Respuesta, Éxito, Fallo)
  • Identificador: 1 byte, coincide con el mensaje de solicitud y el mensaje de respuesta
  • Longitud: 2 bytes, la longitud total de la trama EAP (Código + Identificador + Longitud + campo de datos)
  • Datos: 0 o más bytes, el contenido del paquete EAP

Cuando el valor del campo Código es Éxito o Fallo, el valor de Datos está vacío.
Los datos solo tienen valor cuando el valor del campo Código es Solicitud o Respuesta, y el valor contiene dos partes: Tipo y Tipo de datos; los tipos de Tipo son:

  • Tipo = 1-Identificador (requiere que el programa cliente envíe la información del nombre de usuario ingresada por el usuario)
  • Tipo=2-Notificación (un mensaje opcional, envía algunos mensajes de advertencia)
  • Tipo=3 - Sólo respuesta (respuesta a este tipo de mensaje cuando el tipo de autenticación en el mensaje de Solicitud no es aceptable)
  • Tipo=4-MD5-Challenge (similar al MD5-Challenge en CHAP)
  • Tipo=5-Contraseña de un solo uso (OTP) (un método de interacción de contraseña)
  • Tipo=6-Tarjeta token genérica (el token se usa cuando se admiten Desafío y Respuesta)
  • Tipo=254-Tipos ampliados (admite tipos ampliados por los propios fabricantes)
  • Tipo=255-Uso experimental (tipo utilizado para probar cuando se experimenta con nuevos tipos)

Supongo que te gusta

Origin blog.csdn.net/wangyuxiang946/article/details/130018409
Recomendado
Clasificación
Diario
Más
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)

Code World

© 2018 codetd.com