Sicherheit durch IEEE 802.1XAufgrund der Schwächen der in IEEE 802.11 eingeführten Authentifizierung, war es nötig eine Alternative zu finden. Der ursprünglich für drahtgebundene Netze entwickelte Standard IEEE 802.1X wurde hierfür herangezogen. Er spezifiziert das Grundgerüst für die eigentliche Authentifizierung. Es wird unterschieden zwischen dem Client (Supplicant), der sich in einem Netzwerk authentifizieren möchte, dem Authentifizierer (Authenticator), welcher als Kommunikationspartner für den Client fungiert und dem Authentifizierungsserver (Authentication Server), der die eigentliche Authentifizierung durchführt. In der Regel übernimmt ein RADIUS-Server (Remote Access Dial-Up User Service) die Rolle des Authentifizierungsservers und ein Access Point die des Authentifizierers. Die verwendete Authentifizierungsmethode wird durch IEEE 802.1X nicht festgelegt. IEEE 802.1X basiert auf dem Extensible Authentication Protocol (EAP), welches ursprünglich für die Verwendung im Point-to-Point Protocol (PPP) entwickelt wurde und eine Vielzahl von Authentifizierungsmethoden unterstützt. Die Implementierung von EAP-MD5 ist für jede Umsetzung von EAP vorgeschrieben. Abbildung 6 Die Autorisation findet bei IEEE 802.1X auf der Grundlage von Ports statt. Ein Port wird in zwei logische Ports unterteilt, einen kontrollierten und einen unkontrollierten. Der kontrollierte Port kann nur zur Kommunikation benutzt werden, wenn er sich in einem autorisierten Zustand befindet. Eine Kommunikation über den unkontrollierten Port ist zwar stets möglich, jedoch ist diese eingeschränkt. Die Unterteilung eines Port wird in Abbildung 6 gezeigt. Abbildung 7 Das Format eines EAP Paketes ist in Abbildung 7 zu sehen. Es sind diese Felder vorhanden:
Abbildung 8 Für das Versenden von EAP Paketen zwischen Client und Authentifizierer in einer LAN Umgebung findet eine Einkapselung statt, die EAP over LAN (EAPOL) genannt wird. Abbildung 8 zeigt den Aufbau. Die Felder sind:
Für die Kommunikation zwischen Authentifizierer und Authentifizierungsserver wird in der Regel RADIUS als Protokoll verwendet, welches auch unter dem Namen EAP over RADIUS bekannt ist. Es soll nun die Authentifizierung mittels EAP-MD5 etwas genauer vorgestellt werden. Zunächst einmal wird vom Authentifizierer die Identität des Client erfragt. Diese wird an den Authentifizierungsserver weitergeleitet, welcher daraufhin dem Client über den Authentifizierer eine Challenge zukommen läßt. Der Client antwortet hierauf mit einem 16 Byte langen MD5-Hash über der Konkatenation aus der EAP-ID, seinem Passwort und dem empfangenen Challenge-Text. Kann der Authentifizierungsserver die Richtigkeit des verwendeten Passwortes im Bezug auf die anfangs übermittelte Identität feststellen, so bestätigt er die erfolgreiche Authentifizierung. Andernfalls wird der Fehlschlag mitgeteilt. Der Client hat die Möglichkeit diesen Authentifizierungsprozess anzustoßen, indem er einen EAPOL-Start Rahmen sendet. Weiterhin kann er sich durch einen EAP-Logo Rahmen wieder abzumelden, um zu verhindern, dass der autorisierte Port von anderen weiterverwendet wird. Abbildung 9 verdeutlicht diesen Ablauf nochmals. Abbildung 9
|