Che cos’è l’autenticazione di rete IEEE 802.1x?
IEEE 802.1x è un protocollo che abilita o nega l’accesso alle reti. Il metodo è supportato da tutti i sistemi operativi comuni.
Che cos’è IEEE 802.1x?
In sintesi, IEEE 802.1x è un protocollo che controlla l’accesso di vari dispositivi a una rete LAN o WLAN, concedendolo o negandolo. Si tratta di uno standard indipendente che opera al livello di collegamento dati, il secondo livello del modello ISO/OSI. Il suo compito principale è quello di identificare i dispositivi non autorizzati ancora prima che riescano ad accedere a una rete IEEE 802, proteggendo l’ambiente da accessi indesiderati e garantendo l’accesso alla rete solo a seguito di un controllo approfondito.
IEEE 802.1x è stato introdotto dall’Institute of Electrical and Electronical Engineers (IEEE) nel 2001 ed era inizialmente destinato solo alle reti LAN. Ora lo standard è utilizzato anche per gli ambienti WLAN. L’autenticazione e l’autorizzazione vengono eseguite sulla porta fisica della rete. A questo scopo vengono utilizzati diversi protocolli. Lo standard IEEE 802.1x è talvolta indicato come “IEEE Standard for Local and Metropolitan Area Networks - Port-Based Network Access Control” (PNAC). Oltre al semplice controllo degli accessi, può essere utilizzato per assegnare la larghezza di banda e regolare l’uso della rete.
L’Institute of Electrical and Electronical Engineers ha definito altri standard di rete per consentire le comunicazioni digitali quotidiane. Per saperne di più, consultate la Digital Guide:
A cosa serve lo standard IEEE 802.1x?
Il protocollo di autenticazione IEEE 802.1x prevede tre attori: il richiedente (supplicant), l’autenticatore o negoziatore e un server di autenticazione (AS).
Supplicant
Un richiedente è un qualsiasi dispositivo che necessita di essere autenticato secondo le regole di rete e IEEE 802.1x. Può trattarsi di computer, stampanti, scanner o altri dispositivi.
Authenticator
L’autenticatore esegue la verifica vera e propria e decide se al richiedente viene concesso o meno l’accesso alla rete, controllando le sue credenziali nella procedura IEEE 802.1x. Se queste sono in regola, l’accesso viene concesso, se non sono conformi alle regole della rete, l’accesso viene negato. L’autenticatore è un punto di accesso WLAN, un router o uno switch compatibile con IEEE 802.1x.
Authentification server
Il server di autenticazione è un punto di accesso WLAN, un server RADIUS o un gateway LDAP. È installato in una rete protetta e fornisce all’autenticatore un servizio di autenticazione. Il server confronta le credenziali del richiedente con le autorizzazioni memorizzate e definite in precedenza.
Come funziona IEEE 802.1x?
Per avere un’idea più precisa del funzionamento di base di IEEE 802.1x, confrontiamo questa procedura con un normale controllo degli accessi. Ad esempio, supponiamo che un ospite voglia entrare in un locale per una festa e consegni il suo invito al buttafuori. Questo scansiona la tessera, riceve conferma che l’ospite è stato invitato e concede l’accesso al locale. Se, invece, la tessera è difettosa o non è presente, all’ospite viene negato l’ingresso.
Nel caso di IEEE 802.1x, il richiedente è l’ospite, che inoltra le proprie credenziali all’autenticatore tramite Extensible Authentication Protocol (EAP). L’autenticatore invia le credenziali al server di autenticazione che le confronta con le autorizzazioni precedentemente definite. Le credenziali possono essere memorizzate in un semplice file di testo o in un database. Il server verifica le credenziali e restituisce il risultato all’autenticatore. Se i dati sono corretti, quest’ultimo abilita l’accesso alla rete, concede l’ammissione al richiedente e può assegnare la larghezza di banda per l’uso della rete. Se le credenziali non sono corrette, il richiedente viene respinto.
Quali sono i vantaggi di IEEE 802.1x?
L’uso di IEEE 802.1x offre numerosi vantaggi. Il vantaggio principale risiede nel fatto che il protocollo è ampiamente utilizzato essendo supportato da tutti i sistemi operativi comuni, è facile da implementare e fornisce una buona protezione contro gli accessi indesiderati. IEEE 802.1x è anche molto versatile. Lo standard non funziona solo per le reti LAN, ma anche in combinazione con WLAN e VLAN. È inoltre possibile definire requisiti di login individuali per ogni richiedente e avvalersi di altre funzioni, come le opzioni di amministrazione o la disponibilità e l’assegnazione della larghezza di banda in uso.
Indirizzo MAC come alternativa a IEEE 802.1x
Mentre IEEE 802.1x è supportato da quasi tutti i sistemi operativi come Windows, macOS e Linux e da molti tipi di rete, alcuni dispositivi non utilizzano lo standard, come ad esempio alcune stampanti o webcam. In questo caso, lo switch utilizza l’indirizzo MAC dell’host per l’autenticazione e crea un nome utente e una password a partire da esso. Tuttavia, questo metodo è molto vulnerabile rispetto a IEEE 802.1x e può essere usato impropriamente per accessi non autorizzati.