Netzwerk-Grundlagen – Authentisierung, Teil 1 Das Authentication Framework des Standards IEEE 802.1x

Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Viele Switches und die meisten Betriebssysteme für PC und Workstations ermöglichen die Authentisierung mittels IEEE 802.1x. Dieser Standard bildet nicht nur die Grundlage zur WLAN-Absicherung, er unterstützt auch Ethernet- und Token-Ring Netzwerke. Dieser Beitrag erläutert die Möglichkeiten von IEE 802.1x.

Firmen zum Thema

Der Authentication Standard IEEE 802.1x wird mittlerweile von vielen Endgeräten unterstützt.
Der Authentication Standard IEEE 802.1x wird mittlerweile von vielen Endgeräten unterstützt.
( Archiv: Vogel Business Media )

Die Access Control definiert sich in der Zugangskontrolle für Endgeräte zum Netzwerk. Ein von einem Anwender bedientes Endgerät bietet die Möglichkeit, unabhängig von seinem Betriebssystem den User interaktiv zu authentifizieren.

IEEE 802.1x liefert hierfür ein komplettes Authentication Framework, das Port-basierende Zugriffskontrolle ermöglicht. Dieses Modell sieht dabei verschiedene Abstrahierungen vor:

  • Supplicant ist das Endgerät, welches einen Netzwerkzugang anfordert.
  • Authenticator ist das Gerät, welches den Supplicant authentifiziert und den Netzwerkzugang versperrt oder frei gibt.
  • Authentication Server ist das Gerät, welches den Backend-Authentication-Dienst (z.B. RADIUS) bereitstellt.

Dabei nutzt 802.1x bestehende Protokolle wie EAP und RADIUS, die zwar empfohlen aber nicht vorgeschrieben sind. Unterstützt wird 802.1x für Ethernet, Token Ring und IEEE 802.11.

Eine Fülle von Authentifizierungsmechanismen wie Zertifikate, Smart Cards, One-Time Passwörter oder biometrische Verfahren sind ebenfalls vorgesehen. Diese Flexibilität wird durch die Nutzung des Extensible Authentication Protocol (EAP) erreicht.

Primär getrieben durch die Anforderung Wireless LANs mit einem sicheren Zugangs- und Verschlüsselungsmechanismus (802.11i und WiFiWPA) zu versehen, hat sich 802.1x im WLAN durchgesetzt findet aber zusehends auch Beachtung innerhalb herkömmlicher Ethernet-Netzwerke.

Weiterhin erlaubt die Nutzung von EAP in der von Microsoft favorisierten Variante für RAS VPN (Remote Access Virtual Private Networks) innerhalb von IPSec/L2TP (IPSecurity, Layer 2Tunneling Protocol) eine einheitliche Authentifizierung eines Nutzers über LAN, WLAN und WAN Infrastrukturen.

In der Praxis ist es also möglich, das Modell der Network Access Control unter Nutzung bestehender Authentisierungsinstanzen flächendeckend und benutzerfreundlich zur Verfügung zu stellen.

Seite 2: Authentisierung mittels EAP und RADIUS

Authentisierung mittels EAP und RADIUS

Die eigentliche Authentisierung via IEEE 802.1x erfolgt durch die Weiterleitung der EAP-Pakete mittels EAP-RADIUS (RFC 2869) an einen RADIUS-Server. Dieser kann wiederum je nach Hersteller Schnittstellen zu Verzeichnisdiensten wie Active Directory ADS von Microsoft oder Novell´s NDS über LDAP bzw. XML sowie Plug-ins für Secure ID Card Integration haben (Bild 1 der Bildergalerie).

Verschiedene EAP-Protokolle im Überblick. (Archiv: Vogel Business Media)

Je nach Anforderung und Anwendung kann eine Vielzahl von EAP-Protokollen zur Anwendung kommen. Diese Tabelle soll eine kurze Übersicht bieten.

Funktionsweise von MD5: Da die unverschlüsselte Übertragung von Authentisierungsdaten sehr unsicher ist, wird die ursprüngliche Methode MD5 heute nur noch in Ausnahmefällen genutzt.

Funktionsweise von EAP-TLS: EAP-TLS wurde in RFC 2716 spezifiziert und bietet eine starke kryptographische Authentisierung des Clients gegenüber dem Netzwerk. Das geschieht, indem sich beide Seiten, also der Client und der Anmeldeserver, kryptographische Zertifikate vorzeigen, um ihre Identität zu beglaubigen.

Diese Methode erfordert die Bereitstellung einer PKI (Public Key Infrastructure), welche mit dem Directory in Verbindung steht. Die entsprechenden Zertifikate müssen auf dem Client verfügbar gemacht werden. Gespeichert auf einer so genannten Smart Card stellen sie gemeinsam mit einer mehrstelligen PIN-Nummer die optimale Sicherheitslösung dar.

Funktionsweise von EAP-TTLS: EAP-TTLS wurde unter anderem von den Firmen Funk Software und Certicom aus TLS entwickelt. Die getunnelte Funktionsweise ist mit einem SSL-verschlüsselten Webserver vergleichbar. Im Gegensatz zu EAP-TLS braucht nur der Anmeldeserver ein eindeutiges, digitales Zertifikat, welches der Client beim Verbindungsaufbau überprüft.

Funktionsweise von PEAP: Hierbei handelt es sich um die gebräuchlichere Microsoft-Variante, die im Grunde die schon vorhandenen Merkmale von EAP-TTLS aufweist. Auch hier benötigt der Authentisierungsserver ein Zertifikat, auch hier wird zuerst die Verschlüsselung aufgebaut, bevor eine Identifizierung mit Username / Passwort stattfindet.

Ein ganzheitlicher Lösungsansatz zur Authentisierung erfordert die lückenlose Erkennung der Endgeräte im Netz. Da Endgeräte ganz unterschiedlicher Natur sind müssen zusätzlich zu IEEE 802.1x auch alternative Authentisierungsmethoden auch zur Verfügung stehen. In den folgenden beiden Artikeln dieser Reihe werden wir diesen Ansatz detaillierter beleuchten.

Über den Autor

(Archiv: Vogel Business Media)

Markus Nispel ist als Vice President Solutions Architecture zuständig für die strategische Produkt- und Lösungsentwicklung bei Enterasys. Sein Fokus liegt auf dem Ausbau der Sicherheits- und dort insbesondere der Network-Access-Control-Lösung (NAC) von Enterasys; hier zeichnet er als Architekt verantwortlich. Diese Position knüpft an seine vorherige Tätigkeit bei Enterasys als Director Technology Marketing an. Bereits hier war er intensiv in die weltweite Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Darüber hinaus berät er Key Accounts in Zentraleuropa, Asien und dem mittleren Osten bei strategischen Netzwerkentscheidungen und verantwortet die technischen Integrationsprojekte zwischen Enterasys und der Siemens Enterprise Communications Group.

In Zentraleuropa und Asien verantwortet er zudem das Security Business Development und steht mit einem Team an Security Spezialisten für die Implementierung von Security Projekten mit höchsten Anforderungen bereit.

Vor seiner Tätigkeit für Enterasys Networks war Markus Nispel als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer 3 Switches für den europäischen Kundenstamm ein.

Markus Nispel studierte an der Fachhochschule der Deutschen Telekom in Dieburg und schloss sein Studium 1996 als Dipl.-Ing. Nachrichtentechnik erfolgreich ab. Erste Berufserfahrung sammelte er unter anderem bei der E-Plus Mobilfunk GmbH innerhalb der Netzwerkoptimierungsgruppe für DCS Mobile Networks.

(ID:2046336)