802.1X/EAP
Lo standard 802.1x è una soluzione di sicurezza, messa a punto dall'IEEE nel giugno del 2001. Esso permette d autenticare (identificare) un utente che vorrebbe accedere ad una rete (filare o meno), attraverso un server di autenticazione.
Introduzione a 802.1X
L'802.1x si basa sul protocollo EAP (Extensible Authentication Protocol), definito dall'IETF, il cui ruolo è di trasportare delle informazioni di identificazione degli utenti.
EAP
Il funzionamento del protocollo EAP è basato sull'utilizzo di un controllore di accesso (in inglese authenticator), incaricato di stabilire o meno l'accesso alla rete per un utente (in inglese supplicant). Il controllore di accesso è un semplice guard-rail che funge da intermedio tra l'utente e un server di autenticazione (in inglese authentication server), che ha bisogno di pochissime risorse per funzionare. Nel caso di una rete senza fili, è il punto di accesso che funge di controllore di accesso.
Il server di autenticazione (detto talvolta NAS, per Network Authentification Service, tradotto Servizio di autenticazione di rete, vedi Network Access Service, per Server di accesso di rete) permette di validare l'identità dell'utente, trasmessa dal controllore di rete, e di rinviargli i permessi associati in funzione delle informazioni di identificazione fornite. Inoltre, un server simile permette di memorizzare e di rendere compatibili le informazioni riguardanti gli utenti per, ad esempio, poterle fatturare a durata o a volume (nel caso di un service provider ad esempio).
La maggior parte delle volte il server di autenticazione è un server RADIUS (Remote Authentication Dial In User Service), un server di autenticazione standard definiti dai RFC 2865 e 2866, ma può essere usato qualsiasi servizio di autenticazione. Così, il seguente schema globale riassume il funzionamento di una rete sicura con lo standard 802.1x:
Il controllore di accesso, avendo ricevuto precedentemente una richiesta di connessione da parte dell'utente, invia una richiesta di identificazione;
L'utente invia una risposta al controllore di accesso, che la inoltra al server di autenticazione;
Il server di autenticazione invia un «challenge» al controllore di accesso, che lo trasmette all'utente. Il challenge è un metodo di identificazione. Se il cliente non gestisce il metodo, il server ne propone un altro e così via;
L'utente risponde al challenge. Se l'identità dell'utente è corretta, il server di autenticazione invia un accordo al controllore di accesso, che accetterà l'utente sulla rete o ad una parte di rete, secondo i permessi. Se l'identità dell'utente non si è potuta verificare, il server di autenticazione invia un rifiuto e il controllore di accesso rifiuterà l'accesso alla rete all'utente.
Scambio di chiavi di codifica
Oltre all'autenticazione degli utenti, lo standard 802.1x è un supporto che permette di scambiare delle chiavi di codifica degli utenti in modo sicuro, per migliorare la sicurezza globale.
Foto: © Martial Red – Shutterstock.com
Il documento intitolato « 802.1X/EAP » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.