Authentication Authorisation Accounting (14 June 2004)
Accesso alla rete Le reti aziendali/universitarie hanno la necessita' di essere sempre piu' flessibili (topologie complesse, tecnologie miste) Aspetti fondamentali delle reti di oggi: confidenzialita' delle informazioni (privacy) Accountability: determinare chi ha fatto cosa (prereq. Autenticazione)
Sicurezza e Accesso LAN e WLAN WLAN AP based Security: AP e' il confine della rete, implementata attraverso WEP (broken), WEP fixes, WPA, 802.1X (EAP variants + RADIUS) + 802.11i LAN Network based Security: VPNs utilizzati per la mobilita' degli utenti SSH, PPTP, IPsec Alternative: Web diverter (temporary MAC/IP address filtering) Nessuna privacy degli utenti
Accesso alla rete Meccanismi per la limitazione degli accessi alle entita' autorizzate Differenti classi di utenti (admins, users, guests) Meccanismi per la gestione delle autorizzazioni Limitazione di banda Limitazione degli accessi alle risorse Gestione QoS Meccanismi per la gestione dell'accounting (billing)
ACD e AS (AAA) Access Server Internet 2. 3. 4. Hosting Network 1. Access Control Device (NAS, Switch, AP,...)
Metodi di Autenticazione Nessuna autenticazione Autenticazione tramite MAC address Gateway VPN Gateway Web (Web Diverter) TACACS+ e RADIUS IEEE 802.1x (.1x)
Rete Aperta (No Auth) Facile da utilizzare Fornisce connettivita', indirizzi IP e parametri per la configurazione della rete via DHCP Non necessita di software aggiuntivo sul client (DHCP ampiamente diffuso) Risulta impossibile o molto difficile applicare politiche efficaci di controllo di accesso alla rete
MAC Authentication Si usa l'indirizzo MAC dell'interfaccia Solo alcuni indirizzi sono autorizzati ad accedere alla rete Problemi: L'amministrazione del DB degli indirizzi MAC (allineamento delle nuove/vecchie postazioni/schede collegate alle reti) Difficile gli algoritmi di autenticazione utilizzati
VPN Gateway (1/2) Autenticazione al VPN Concentrator Client deve autenticarsi al gateway di solito situato tra la rete geografica e la rete aziendale Permette di accedere facilmente a tutte le risorse aziendali remotamente Problemi: E' necessario installare del software aggiuntivo sul client (VPN client) Non e' soluzione standard (anche se esistono client/concentrator per molte piattaforme) Concentratori VPN costosi Difficile dare connettivita' a visitatori
VPN Gateway (2/2) Vantaggi Sicurezza su Layer3 (indipendenza dall'hw) E' possibile utilizzare apparati stupidi / poco costosi (AP) Permette di utilizzare le risorse del network remoto facilmente (indirizzi della rete remota) Esistono molte implementazioni per quasi tutte le piattaforme (compresi PDA) Funziona!
Autenticazione al WEB diverter Gateway di livello 3 tra rete geografica e rete aziendale (Hotel Authentication) Intercetta tutto il traffico e presenta una pagina per l'autenticazione dell'utente Inserendo le credenziali l'utente ottiene l'accesso all'esterno Problemi: WEB Gateway (1/2) Soluzioni non standard Sul client e' necessario un browser (PDA, Other Devices?) Difficile rilevare la disconnessione dell'utente Accesso parziale alla rete prima dell'autenticazione
WEB Gateway (2/2) Vantaggi Facile da implementare Sui client sono sempre piu' diffusi browsers preinstallati Utilizzano gli schemi esistendi di passwd/username Facile dare connettivita' agli utenti ospiti (Guest) Soluzione scalabile Funziona!
Port Based Network Access Control Ratificato nel 2001 IEEE 802.1x (.1x) Basato su EAP (Extensible Authentication Protocol) RFC 2284 Lo standard per LAN Autenticate e reti auto configurate Sempre piu' diffuso negli apparati e sistemi operativi (Win, BSD, Solaris, Linux) Permette la separazione dei problemi di autenticazione e autorizzazione Flessibile
Terminal Access Controller Access Control System Protocollo CISCO Standard IETF (RFC 1492) XTACACS e TACACS+ Lo standard TACACS Permette ad un client di autenticarsi mandando una richiesta al TACACS Authentication Server Il server permettera' l'accesso al client se la richiesta contiente username e password corretti Le password sono trasmesse in chiaro
TACACS+ (1/2) Estensione dello standard CISCO Permette di utilizzare piu' tipi di richieste per l'autenticazione e piu' codici di risposta E' possibile utilizzare diversi algoritmi e diversi tipi di dati per il controllo degli accessi (CHAP/PAP) Permette la cifratura del pacchetto dati E' possibile specificare diversi tipi di pacchetto (packet type)
TACACS+ (2/2) 0 32 Major Minor Packet Type Sequence Num. Flags Session ID Length Major = Major Version del protocollo (4 bit) Minor = Minor Version (4 bit). Permette revisioni del protocollo mantenendo la compatibilita' Packet Type: (8bit) TAC_PLUS_AUTHEN := 0x01 (Autenticazione) TAC_PLUS_AUTHOR := 0x02 (Autorizzazione) TAC_PLUS_ACCT := 0x03 (Accounting) Sequence Number = Numero della sequenza del pacchetto della sessione corrente (8 bit) Flags = Informazioni sul pacchetto (cifratura) (8 bit). Session ID = Identificativo della sessione corrente (32 bit) Length = Lunghezza del pacchetto TACACS+ escludendo l'header (32 bit)
Radius (1/4) De facto standard per AAA Supporta AAA per l'accesso alla rete tramite Porte fisiche (PSTN, ISDN, IEEE 802, etc...) Porte virtuali (tunnel, wireless) Permette una gestione centralizzata dell'accounting Permette identificazione di domini differenti e quindi l'uso di proxy server
Radius (2/4) Contempla la verifica dell'integrita' e l'autenticazione dei pacchetti tramite l'utilizzo di crittografia simmetrica (Key) Cifratura della password tramite algoritmo MD5: password md5(key+autenticatore)
Radius (3/4) code ident if lengt h aut ent icat ore... at t ribut i...
Radius (4/4) Codice := tipo del pacchetto ACCESS REQUEST ACCESS REJECT ACCESS CHALLENGE Autenticatore := identifica la risposta del server (basato sull'utilizzo di MD5). Nei frame ACCESS_REQUEST sono 16 bytes random Gli Attributi: Set di attributi standard definiti da IETF Struttura estendibile per supportare differenti attributi per diversi autenticatori unico punto di accesso da parte del NAS per diverse richieste di autenticazione
Esempio: Radius Access Control Device Radius Server CHAP Challenge Request CHAP Challenge Response Access Request CHAP user name CHAP password CHAP challenge Access Accept (parametri) CHAP Success
alice@polito.it Esempio: Proxy Radius ACD Proxy Radius NT Domain Unix Unix Radius Server Radius Server @uni.it @b.com Local User DB Radius Server @polito.it
IEEE 802.1x (.1x) Standard IEEE per LAN autenticate e autoconfigurate Framework per l'autenticazione ed il Key Management: Puo' derivare chiavi di sessione da utilizzare per l'autenticazione, la verifica dell'integrita' e la segretezza dei pacchetti Utilizza algoritmi standard per la derivazione delle chiavi di sessione (es. TLS) Diverse servizi per la sicurezza: Autenticazione Autenticazione con cifratura delle informazioni
IEEE 802.1x (.1x) Implementazione degli algoritmi crittografici a livello applicativo (EAP) la conversazione avviene tra il supplicant (client) e l'authentication server (RADIUS) NIC e ACD agiscono da pass through Nessuna necessita' di aggiornamento di NIC e NAS per implementare nuovi algoritmi di autenticazione Perfetta integrazione con AAA
Terminologia Terminologia IEEE Supplicant Terminologia Normale Client Authenticator Network Access Device Authentication Server AAA/RADIUS Server
Architettura (.1x) Stack Protocollare Supplicant (laptop, desktop) Authenticator (AP, Switch) Authentication Server (RADIUS server) 802.1x EAPOL EAP RADIUS (TCP/IP) Et hernet Et hernet
Architettura (EAP) TLS AKA SIM SRP Method Layer EAP EAP Layer PPP 802.3 802.5 802.11 Media Layer
EAP Topic EAP MD5 LEAP EAP TLS PEAP EAP TTLS Se curit y Solut ion Standardsbased Propriet ary St andardsbased St andards -based St andardsbased Ce rt ificat e s Clie nt Ce rt ificat e s Se rve r Cre de nt ial Se curit y No n/a Yes No No No n/a Yes Yes Yes None Weak St rong St rong St rong Support e d Aut he nt icat ion Dat abase s Requires cleartext database Active Direct ory, NT Dom ains Active Directory, LDAP etc. Active Directory, NT Dom ain, Token System s, SQL, LDAP etc. Active Directory, LDAP, SQL, plain password files, Token System s etc. Dynam ic Ke y Exchange M ut ual Aut he nt icat ion No Yes Yes Yes Yes No Yes Yes Yes Yes
Esempio: 802.1x EAPOL Start EAP Request/Identity EAP Response Invia le Credenziali Accept Invia le credenziali all'access Server (RADIUS) Autenticazione Avvenuta con successo Policy Instructions Scambio di Messaggi tra Client e Auth Server attraverso l'utilizzo di EAP lo Switch e' solamente un pass through 802.1x RADIUS
Esempio: Guest w/802.1x Accesso alla DMZ o Quarantine network. Login Request Login Request Login Request Client ospiti (guest) senza 802.1x supplicant. Accesso Guest offerto dallo switch. Se il client non risponde a richieste di autorizzazione 802.1x prima dello scadere del timeout, viene garantito l'accesso tipo guest. Sugli apparati CISCO di default il timeout e' settato a 90sec.
802.1x and Win Environment Ciclo di BOOT del OS Win32 Presunzione di connettivita' alla rete Power Up Load NIDS Drivers DHCP Connect al Domain Controller Update Policies Apply Policies GINA (Ctrl Alt Del) Login
802.1x and Win - Environment 802.1x Computer Auth Power Up Load NIDS Drivers 802.1x Computer Auth DHCP Connect al Domain Controller GINA (Ctrl Alt Del) Login Autenticazione della postazione L'abilita' per le postazioni windows di autenticarsi con una propria identita' al Domain Controller prima della richiesta di autenticazione interattiva dell'utente Serve per poter recuperare le informazioni sulle politiche di accesso dei gruppi dal Domain Controller Problema prima di 802.1x si presupponeva l'accesso alla rete PRIMA del login dell'utente la macchina deve potersi autenticare al DC
802.1x and Win Environment DHCP w/802.1x DHCP e' un evento parallelo all'autenticazione 802.1x Su LAN una avvenuta autenticazione 802.1x non forza una richiesta per il rinnovo/assegnazione di indirizzi via DHCP La richiesta DHCP viene effettuata appena l'interfaccia risulta attivata (UP) Problemi: se l'autenticazione 802.1x richiede troppo tempo, le richieste DHCP potrebbero andare in timeout In base all'autenticazione, la configurazione dell'host potrebbe cambiare (diverse VLAN)
802.1x and Win Environment DHCP w/802.1x 802.1x Auth Variable Timeout DHCP Timeout at 62 Sec. Power Up Load NIDS Drivers 802.1x Comp. Auth DHCP Connect al Domain Controller GINA (Ctrl Alt Del) Login
802.1x and Win Environment DHCP w/802.1x Soluzione al problema proposto da Microsoft 1)Autenticazione 802.1x (normale) 2)Quando un frame tipo EAP Success viene ricevuto vengono inviati ICMP echo (x3) al vecchio default GW 3)Se i ping non ricevono risposta viene inviata una richiesta DHCP Request / DHCP Discover (se viene ricevuto un DHCP Nak wrong subnet) 4)Il DHCP puo' proseguire normalmente
Case Study European Wireless Roaming for Campuses
SURFnet Cross domain 802.1X with VLAN assignment Supplica nt Aut hent icat or (AP or sw it ch) RADIUS serve r Inst it ut ion A User DB RADIUS server Inst it ut ion B User DB Guest pie t @inst it ut ion_b.nl Int ernet Em ployee VLAN St udent VLAN Guest VLAN Cent ra l RADIUS Proxy server Authentication at hom e institution, 802.1X, TTLS (SecureW2), (proxy) RADIUS. One tim e passwords are also transm itted via SMS to guest users. A RADIUS Hierarchy is proposed to scale this to a European wide solution.
EduRoam Educational Wireless Roam FUNET SURFnet DFN University of Southampton Sempre piu' partecipanti al progetto: Spain, Norway, FCCN Slovenia, Czech Republic & Greece e Italia (Polito?). RADIUS Proxy servers connecting to a European level RADIUS proxy server CARnet
Conclusioni E' possibile investire in soluzioni per l'accesso autenticato alle reti Esistono soluzioni disponibili e facilmente implementabili Probabilmente tecniche composte (Web Diverter + 802.1x) rappresentano soluzioni specifiche per esigenze particolari Integrazione sempre maggiore di 802.1x negli apparati di rete (CISCO) Presenza di gruppi di lavoro EUROPEI (TERENA) e USA (Internet2) per AAA Ancora non vi e' convergenza per la gestione delle autorizzazioni (SHIBBOLETH)