IEEE 802.1x

monitorLo standard IEEE 802.1x permette di identificare in maniera sicura gli utenti, collegati ad una determinata porta ethernet o ad un Access Point, ed applicare di conseguenza il livello di sicurezza necessario: ad esempio ad un nostro partner possiamo dare la possibilità di navigare solamente su internet, mentre l’amministratore delegato può accedere al database principale. IEEE 802.1x è nato per l’identificazione e l’autorizzazione dell’utente su reti wireless e più in generale su reti ethernet, permettendo servizi personalizzati quali il raggruppamento di una classe di utenti in una determinata Virtual LAN.

Il protocollo è basato su Extensive Authentication Protocol Over Lan (EAPOL) che prevede differenti tipologie di autenticazione, tra cui MD5 e TLS. Sebbene questo protocollo sia l’ideale per riconoscere un utente e dare l’accesso alla rete, si possono evidenziare tre sue implicazioni. La prima é che IEEE 802.1x non definisce un sistema di crittografia: questo protocollo si limita ad autenticare l’utente, anche se in seguito verrà descritto in che modo é in grado di “integrarsi” con WEP. Il secondo problema é che molti degli Access Point esistenti non dispongono di 802.1x. Quegli AP che non dispongono della possibilità di essere aggiornati via software devono essere sostituiti. Inoltre é probabile che i futuri AP a basso costo, tipicamente pensati per l’utenza domestica e piccoli uffici, non disporranno di 802.1x, che necessita comunque di una infrastruttura RADIUS. Infine solamente alcuni sistemi operativi, ad esempio Windows 2000 e Windows XP, supportano nativamente IEEE 802.1x. I sistemi Apple con MacOS e chi dispone di sistemi Windows 95/98/ME/NT devono acquistare un client compliant con IEEE 802.1x, con costi aggiuntivi. Il costo potrebbe rappresentare un problema minore per una azienda con un numero definito di utenti, ma potrebbe essere un rischio di business per un ISP o un operatore mobile che decidesse di offrire accesso Wireless.
Sempre più produttori stanno sposando questa tecnologia, sia sulle reti ethernet tradizionali che su quelle wireless. Questa tipologia di autenticazione pone un ulteriore ostacolo tra il probabile intruso e la rete privata, pertanto è bene attivare questa caratteristica qualora si disponga di una infrastruttura PKI, e qualora gli Access Point siano compatibili con IEEE 802.1x. È bene verificare, sia sul manuale che con il produttore degli Access Point, la compatibilità a tale standard e le sue specifiche di configurazione.

Articoli Correlati:

  1. IEEE 802.1x e Wireless LAN
  2. PPPoE e Wireless LAN
  3. Microsoft Internet Authentication Service (IAS)
  4. Radius client
taggato con , , , , , , ,