Lesezeit
1 Minute
Sicherer Netzwerkzugriff mit 802.1x
Um ein Netzwerk optimal abzusichern, sollten Benutzer beim Zugriff schon möglichst frühzeitig überprüft werden. Im Zusammenspiel mit einem WLAN-Controller oder RADIUS-Server erlaubt der Standard IEEE 802.1x eine sogenannte portbasierte Authentisierung. In diesem Fachartikel erklären wir die Begrifflichkeiten und diskutieren, warum 802.1x in Kombination mit dem EAP-Protokoll für die Zugangskontrolle und als erweiterte Sicherheitsfunktion in Wireless LANs sinnvoll ist.
Die Geschichte von 802.1x
Die Idee zu 802.1x kam von Institutionen, die den Zugang zu öffentlichen Netzwerken einfach kontrollieren wollten. Die gewünschte Lösung sollte kostengünstig und einfach zu implementieren sein. Dabei sollten die bestehenden Netzwerk-Infrastrukturen ebenso wie etablierte Protokolle zum Einsatz kommen. VPN erfüllte zwar einige der Voraussetzungen, schied aber aufgrund hoher Ressourcen-Anforderungen und der komplexen Konfiguration als generelle Lösung aus. Das Konzept für 802.1x wurde schließlich gemeinsam von 3Com, HP, und Microsoft entwickelt und im Juni 2001 als IEEE Standard verabschiedet.
Die Philosophie hinter 802.1x
Der IEEE-802.1x-Standard stellt im Sicherheitskonzept für Netzwerke eine wichtige Weiterentwicklung dar und bietet die Möglichkeit, schon an einem Netzwerkzugangsport eine Benutzeridentifizierung vornehmen zu können. Damit lassen sich folgende Funktionen realisieren:
RADIUS übernimmt zentrale Authentisierung
Alle Provider, die die Einwahl in ein Netzwerk ermöglichen, stehen vor dem Problem, dass sie einer Vielzahl von Benutzern an verschiedenen Orten Zugang zum Internet bieten. Zur Gewährleistung der Sicherheit muss jedoch genauestens geprüft werden, wer Zugang zum Netzwerk bekommt, um gleich von Vornherein einen Missbrauch der Serverdienste auszuschließen. Desweiteren benötigen die Provider Mechanismen, die ihnen die Erfassung und Berechnung der Onlinezeiten für die Benutzer ermöglichen. Deshalb besteht Bedarf an einem leistungsfähigen System, das die Authentisierung, die Autorisierung und das Accounting (AAA) zentral übernehmen kann.
Bild 1: Beispiel für einen mobilen Benutzer-Zugang zum lokalen Netzwerk unter Verwendung eins RADIUS-Servers
Diese Aufgabenstellungen löst der Remote Authentication Dial-In User Service, kurz RADIUS. RADIUS ist in RFC 2865 spezifiziert und kommuniziert über UDP-Port 1812. Ein Network Access Server (NAS) fungiert als Client des RADIUS-Servers. Ein RADIUS-Server kann auch als Proxy für andere RADIUS-Server oder andere Arten von Authentifizierungsservern (WLAN-Controller) dienen. Die Kommunikation zwischen dem RADIUS-Client und -Server wird dadurch gesichert, dass sich beide Kommunikationspartner gegenseitig durch ein "Shared Secret" authentifizieren und den Datentransfer verschlüsseln. RADIUS unterstützt eine Vielzahl von Authentifizierungsmöglichkeiten wie zum Beispiel PAP, CHAP, EAP oder UNIX-Login. RADIUS kann viele erweiterbare Attribute zu einem Benutzer verarbeiten und übermitteln.
Mittlerweile sind verschiedene RADIUS-Server mit 802.1x/EAP-Unterstützung auf dem Markt verfügbar. Hierbei reicht die Palette vom komplexen Kommandozeilentool bis hin zu benutzerfreundlicheren Servern mit eigener Konfigurations-GUI. Dies kann ein Software-Server sein oder auch ein in Netzwerk-Hardware integrierter Server (Router, WLAN-Controller, Access Point, Switch).
ln/Eckhart Traber, Pressesprecher LANCOM Systems GmbH
Die Idee zu 802.1x kam von Institutionen, die den Zugang zu öffentlichen Netzwerken einfach kontrollieren wollten. Die gewünschte Lösung sollte kostengünstig und einfach zu implementieren sein. Dabei sollten die bestehenden Netzwerk-Infrastrukturen ebenso wie etablierte Protokolle zum Einsatz kommen. VPN erfüllte zwar einige der Voraussetzungen, schied aber aufgrund hoher Ressourcen-Anforderungen und der komplexen Konfiguration als generelle Lösung aus. Das Konzept für 802.1x wurde schließlich gemeinsam von 3Com, HP, und Microsoft entwickelt und im Juni 2001 als IEEE Standard verabschiedet.
Die Philosophie hinter 802.1x
Der IEEE-802.1x-Standard stellt im Sicherheitskonzept für Netzwerke eine wichtige Weiterentwicklung dar und bietet die Möglichkeit, schon an einem Netzwerkzugangsport eine Benutzeridentifizierung vornehmen zu können. Damit lassen sich folgende Funktionen realisieren:
- Zugangskontrolle (benutzerorientiertes Regelsystem)
- Abrechnung (Billing & Accounting)
- Bandbreitenzuweisung (QoS pro User)
- Anlegen von Benutzerprofilen (User Personalized Network, UPN)
RADIUS übernimmt zentrale Authentisierung
Alle Provider, die die Einwahl in ein Netzwerk ermöglichen, stehen vor dem Problem, dass sie einer Vielzahl von Benutzern an verschiedenen Orten Zugang zum Internet bieten. Zur Gewährleistung der Sicherheit muss jedoch genauestens geprüft werden, wer Zugang zum Netzwerk bekommt, um gleich von Vornherein einen Missbrauch der Serverdienste auszuschließen. Desweiteren benötigen die Provider Mechanismen, die ihnen die Erfassung und Berechnung der Onlinezeiten für die Benutzer ermöglichen. Deshalb besteht Bedarf an einem leistungsfähigen System, das die Authentisierung, die Autorisierung und das Accounting (AAA) zentral übernehmen kann.
Bild 1: Beispiel für einen mobilen Benutzer-Zugang zum lokalen Netzwerk unter Verwendung eins RADIUS-Servers
Diese Aufgabenstellungen löst der Remote Authentication Dial-In User Service, kurz RADIUS. RADIUS ist in RFC 2865 spezifiziert und kommuniziert über UDP-Port 1812. Ein Network Access Server (NAS) fungiert als Client des RADIUS-Servers. Ein RADIUS-Server kann auch als Proxy für andere RADIUS-Server oder andere Arten von Authentifizierungsservern (WLAN-Controller) dienen. Die Kommunikation zwischen dem RADIUS-Client und -Server wird dadurch gesichert, dass sich beide Kommunikationspartner gegenseitig durch ein "Shared Secret" authentifizieren und den Datentransfer verschlüsseln. RADIUS unterstützt eine Vielzahl von Authentifizierungsmöglichkeiten wie zum Beispiel PAP, CHAP, EAP oder UNIX-Login. RADIUS kann viele erweiterbare Attribute zu einem Benutzer verarbeiten und übermitteln.
Mittlerweile sind verschiedene RADIUS-Server mit 802.1x/EAP-Unterstützung auf dem Markt verfügbar. Hierbei reicht die Palette vom komplexen Kommandozeilentool bis hin zu benutzerfreundlicheren Servern mit eigener Konfigurations-GUI. Dies kann ein Software-Server sein oder auch ein in Netzwerk-Hardware integrierter Server (Router, WLAN-Controller, Access Point, Switch).
Seite 1 von 2 Nächste Seite>>
ln/Eckhart Traber, Pressesprecher LANCOM Systems GmbH