von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Sicherer Netzwerkzugriff mit 802.1x
Das Extensible Authentication Protokoll (EAP)
EAP wurde ursprünglich für PPP entwickelt, und ist in den RFCs 2284 und 2716 spezifiziert. Mit Hilfe von EAP können zwei Kommunikationspartner vor der eigentlichen Authentifizierung aushandeln, welche Authentifizierungsmethode angewandt werden soll. Aufgrund der Ausführung als Application Programming Interface werden auch zukünftig entwickelte Authentisierungsprotokolle auf EAP aufsetzen können. EAP beschreibt in einem einfachen Request-Response-Verfahren den Austausch der Authentifizierungsdaten vom Benutzer zum Authentisierungsserver und dessen Antwort. Dabei sind beliebige Authentifizierungsmechanismen wie Kerberos, SecurI oder Zertifikate einsetzbar. EAP findet entweder in Verbindung mit PPP Verwendung oder als Protokoll-Framework zum Authentifizierungsdatenaustausch in anderen Protokollen, so etwa auch in IEEE 802.1x. Für die Anwendung von EAP über 802.1x erfolgt die Übertragung der Authentifizierungsdaten mittels EAPoL (Extensible Authentication Protocol over LAN) oder im Fall von Wireless entsprechend EAPoW.
So funktioniert EAP
EAP fordert den Benutzer auf, sich zu authentifizieren. Diese Authentisierungsinformationen werden zunächst an den Port beziehungsweise den Authenticator weitergeleitet. Sobald der Authenticator diese Daten empfangen hat, leitet er sie an einen AAA-Server, im Normalfall einen RADIUS-Server, weiter. Anhand der hinterlegten Benutzerprofile authentifiziert der RADIUS-Server den User, das heißt er entscheidet, ob der User Zugriff auf die angefragten Services erhält oder nicht. In einigen Fällen übernimmt der RADIUS-Server die Authentifizierung nicht selbst, sondern schickt die Daten an eine weitere Authentifizierungseinheit weiter, im Normalfall an einen Verzeichnisdienst (LDAP-Server, Directory Server).
Im Fall einer nicht erfolgreichen Authentifizierung erhält der Authenticator eine entsprechende Information, die dafür sorgt, dass der Port nicht aktiviert wird (das heißt den Modus "Authentication on/Port off" einnimmt) beziehungsweise das Standard-Systemverhalten beibehält (Authentication on/Port on with default policy). In beiden Fällen erhält der Benutzer keinen Zugriff auf die angefragten Services. Wenn die Authentifizierung erfolgreich verläuft, wird die Erfolgsmeldung, die der RADIUS-Server an den Switch oder Access Point zurücksendet, mit der Funktionsbezeichnung "RADIUS/EAP Success" versehen. Der Authenticator schaltet danach sofort den entsprechenden Port für den uneingeschränkten Datentransport frei.
Bild 2: Schematischer Ablauf einer WLAN-Sitzung mit EAP/802.1x
EAP-TLS (Authentifizierung durch gegenseitige Zertifikate)
Das EAP-Transport Layer Security Protokoll (eine Kombination von EAP mit SSL) verlangt eine gegenseitige zertifikatbasierte Authentisierung des Servers und des Clients auf der Transportschicht. Aktuell sind eine Reihe Clients für EAP-TLS für LINUX (zum Beispiel Open1x), Mac OS X ab Version 10.3 und Microsoft Windows (ab Windows 2000 mit Patch, ab Windows XP nativ) erhältlich.
Bei anderen Betriebssystemen lässt sich eine Dritthersteller-Software installieren, um die Funktion nutzen zu können. Das Open1x-Projekt hat sich zum Ziel gesetzt, mit einer eigenen 802.1X-Implementierung viele Systeme zu unterstützen. Des Weiteren ist es möglich, Netzwerkkomponenten zu verwenden, die eine webbasierte Authentifizierung gestatten. Als Vorteil von EAP-TLS ist die Favorisierung durch Microsoft und die Integration in Windows zu sehen – die notwendige gegenseitige zertifikatbasierende Authentisierung spricht allerdings gegen dieses Verfahren.
EAP-TTLS (Authentifizierung durch Username / Passwort und Server-Zertifikat)
Das EAP-Tunneled Transport Layer Security Protokoll erweitert EAP-TLS durch eine sehr praktische Funktion. Bevor sich der Benutzer gegenüber dem Server authentisieren muss, wird mit dem Serverzertifikat ein sicherer TLS-Tunnel zwischen WLAN-Client und Authentisierungsserver dynamisch aufgebaut. In diesem sicheren Tunnel kann sich dann der Benutzer beim Authentisierungsserver mittels Username und Passwort identifizieren. Damit entfällt die eher umständliche Notwendigkeit eines Benutzerzertifikats. Es werden – wie bei SSL (TLS)-Authentisierungen über das Internet üblich – nur noch serverseitige Zertifikate zur gegenseitigen Authentisierung des Benutzers und des Servers zwingend benötigt. Das EAP-TTLS-Verfahren ist damit einfacher als EAP-TLS, da nur serverseitige Zertifikate notwendig sind.
ln/Eckhart Traber, Pressesprecher LANCOM Systems GmbH
EAP wurde ursprünglich für PPP entwickelt, und ist in den RFCs 2284 und 2716 spezifiziert. Mit Hilfe von EAP können zwei Kommunikationspartner vor der eigentlichen Authentifizierung aushandeln, welche Authentifizierungsmethode angewandt werden soll. Aufgrund der Ausführung als Application Programming Interface werden auch zukünftig entwickelte Authentisierungsprotokolle auf EAP aufsetzen können. EAP beschreibt in einem einfachen Request-Response-Verfahren den Austausch der Authentifizierungsdaten vom Benutzer zum Authentisierungsserver und dessen Antwort. Dabei sind beliebige Authentifizierungsmechanismen wie Kerberos, SecurI oder Zertifikate einsetzbar. EAP findet entweder in Verbindung mit PPP Verwendung oder als Protokoll-Framework zum Authentifizierungsdatenaustausch in anderen Protokollen, so etwa auch in IEEE 802.1x. Für die Anwendung von EAP über 802.1x erfolgt die Übertragung der Authentifizierungsdaten mittels EAPoL (Extensible Authentication Protocol over LAN) oder im Fall von Wireless entsprechend EAPoW.
So funktioniert EAP
EAP fordert den Benutzer auf, sich zu authentifizieren. Diese Authentisierungsinformationen werden zunächst an den Port beziehungsweise den Authenticator weitergeleitet. Sobald der Authenticator diese Daten empfangen hat, leitet er sie an einen AAA-Server, im Normalfall einen RADIUS-Server, weiter. Anhand der hinterlegten Benutzerprofile authentifiziert der RADIUS-Server den User, das heißt er entscheidet, ob der User Zugriff auf die angefragten Services erhält oder nicht. In einigen Fällen übernimmt der RADIUS-Server die Authentifizierung nicht selbst, sondern schickt die Daten an eine weitere Authentifizierungseinheit weiter, im Normalfall an einen Verzeichnisdienst (LDAP-Server, Directory Server).
Im Fall einer nicht erfolgreichen Authentifizierung erhält der Authenticator eine entsprechende Information, die dafür sorgt, dass der Port nicht aktiviert wird (das heißt den Modus "Authentication on/Port off" einnimmt) beziehungsweise das Standard-Systemverhalten beibehält (Authentication on/Port on with default policy). In beiden Fällen erhält der Benutzer keinen Zugriff auf die angefragten Services. Wenn die Authentifizierung erfolgreich verläuft, wird die Erfolgsmeldung, die der RADIUS-Server an den Switch oder Access Point zurücksendet, mit der Funktionsbezeichnung "RADIUS/EAP Success" versehen. Der Authenticator schaltet danach sofort den entsprechenden Port für den uneingeschränkten Datentransport frei.
Bild 2: Schematischer Ablauf einer WLAN-Sitzung mit EAP/802.1x
EAP-TLS (Authentifizierung durch gegenseitige Zertifikate)
Das EAP-Transport Layer Security Protokoll (eine Kombination von EAP mit SSL) verlangt eine gegenseitige zertifikatbasierte Authentisierung des Servers und des Clients auf der Transportschicht. Aktuell sind eine Reihe Clients für EAP-TLS für LINUX (zum Beispiel Open1x), Mac OS X ab Version 10.3 und Microsoft Windows (ab Windows 2000 mit Patch, ab Windows XP nativ) erhältlich.
Bei anderen Betriebssystemen lässt sich eine Dritthersteller-Software installieren, um die Funktion nutzen zu können. Das Open1x-Projekt hat sich zum Ziel gesetzt, mit einer eigenen 802.1X-Implementierung viele Systeme zu unterstützen. Des Weiteren ist es möglich, Netzwerkkomponenten zu verwenden, die eine webbasierte Authentifizierung gestatten. Als Vorteil von EAP-TLS ist die Favorisierung durch Microsoft und die Integration in Windows zu sehen – die notwendige gegenseitige zertifikatbasierende Authentisierung spricht allerdings gegen dieses Verfahren.
EAP-TTLS (Authentifizierung durch Username / Passwort und Server-Zertifikat)
Das EAP-Tunneled Transport Layer Security Protokoll erweitert EAP-TLS durch eine sehr praktische Funktion. Bevor sich der Benutzer gegenüber dem Server authentisieren muss, wird mit dem Serverzertifikat ein sicherer TLS-Tunnel zwischen WLAN-Client und Authentisierungsserver dynamisch aufgebaut. In diesem sicheren Tunnel kann sich dann der Benutzer beim Authentisierungsserver mittels Username und Passwort identifizieren. Damit entfällt die eher umständliche Notwendigkeit eines Benutzerzertifikats. Es werden – wie bei SSL (TLS)-Authentisierungen über das Internet üblich – nur noch serverseitige Zertifikate zur gegenseitigen Authentisierung des Benutzers und des Servers zwingend benötigt. Das EAP-TTLS-Verfahren ist damit einfacher als EAP-TLS, da nur serverseitige Zertifikate notwendig sind.
<<Vorherige Seite Seite 2 von 2
ln/Eckhart Traber, Pressesprecher LANCOM Systems GmbH
