Sicurezza  »  Articoli  »  Tecniche di sicurezza 

Il Sistema di autenticazione 802.1x

Nell'ambito della sicurezza del Wireless, la protezione WEP statica, oggi molto utilizzata da privati ed aziende, si basa si un semplice segreto condiviso (password o chiave) per l'autenticazione nella WLAN. Chiunque disponga di questa chiave segreta può accedere alla WLAN. Lo standard WEP non prevedere un metodo per l'automazione dell'aggiornamento o della distribuzione di tali chiavi, quindi è estremamente difficile modificarle periodicamente.

Un utente malintenzionato può sfruttare imperfezioni crittografiche in WEP per individuare le chiavi WEP statiche mediante strumenti elementari.

Per garantire un metodo più affidabile di autenticazione e autorizzazione, Microsoft e alcuni altri fornitori hanno proposto una struttura di protezione WLAN basata sul protocollo 802.1X. 802.1X è uno standard IEEE per l'autenticazione dell'accesso alla rete che può anche essere utilizzato per la gestione delle chiavi di protezione del traffico di rete. Il suo utilizzo non è limitato alle reti senza fili, bensì è implementata in numerosi switch di fascia alta della rete LAN cablata.

Il protocollo 802.1X richiede la presenza dell'utente di rete, di un dispositivo di accesso alla rete (o gateway) come un punto di accesso senza fili e un servizio di autenticazione e autorizzazione costituito da un server RADIUS (Remote Authentication Dial-In User Service). Il server RADIUS gestisce il processo di autenticazione delle credenziali dell'utente e di autorizzazione dell'accesso alla WLAN.

Lo standard 1X si basa su un protocollo IETF denominato EAP (Extensible Authentication Protocol) per gestire lo scambio di dati di autenticazione tra il client e il server RADIUS (inoltrati dal punto di accesso). EAP è un protocollo generico per l'autenticazione che supporta numerosi metodi di autenticazione, con password, certificati digitali o altri tipi di credenziali.

Poiché il protocollo EAP può essere inserito in un metodo di autenticazione, non esiste un tipo standard di autenticazione EAP da utilizzare. I metodi EAP applicabili ai diversi contesti possono essere vari, con tipi di credenziali e protocolli di autenticazione differenti.

Quando RADIUS viene implementato, un punto di accesso senza fili impedisce l'inoltro del traffico dei dati a una rete cablata o a un altro client senza fili senza una chiave di autenticazione valida. Di seguito è riportato il processo per l'ottenimento di una chiave di autenticazione valida:

• Quando un client senza fili entra nel raggio di azione di un punto di accesso senza fili, il punto di accesso senza fili richiede la verifica del client.
• Il client senza fili si identifica al punto di accesso senza fili, il quale inoltra le informazioni a un server RADIUS.
• Il server RADIUS richiede le credenziali del client senza fili per verificarne l'identità. Come parte della richiesta, il server RADIUS specifica il tipo di credenziali necessarie.
• Il client senza fili invia le proprie credenziali al server RADIUS.
• Il server RADIUS verifica le credenziali del client senza fili. Se le credenziali sono valide, il server RADIUS invia una chiave di autenticazione crittografata al punto di accesso senza fili.
• Il punto di accesso senza fili utilizza la chiave di autenticazione per trasmettere in modo protetto chiavi di autenticazione di sessione unicast per stazione e multicast al client senza fili.

Altri articoli

Altre guide

Altre newsletter