Sicherheit durch IEEE 802.1X

Schwächen der in IEEE 802.11 eingeführten Authentifizierung, 

Alternative nötig

Standard IEEE 802.1X 

	ursprünglich für drahtgebundene Netze entwickelt
	spezifiziert Grundgerüst für eigentliche Authentifizierung
	Unterscheidung zwischen  Client (Supplicant),  möchte sich in Netzwerk authentifizieren ,  Authentifizierer (Authenticator) fungiert als Kommunikationspartner für Client  i.d.R. Access Point Rolle des Authentifizierers. Authentifizierungsserver (Authentication Server),  führt eigentliche Authentifizierung durch  i.d.R. ein RADIUS-Server   (Remote Access Dial-Up User Service)

Authentifizierungsmethode durch IEEE 802.1X nicht festgelegt. 

	IEEE 802.1X basiert auf Extensible Authentication Protocol (EAP), (RFC 2284)
	ursprünglich für Verwendung im Point-to-Point Protocol (PPP) entwickelt
	wird von Vielzahl von Authentifizierungsmethoden unterstützt
	Implementierung von EAP-MD5 für EAP vorgeschrieben

Autorisation auf Grundlage von Ports (Bild oben)

Port wird in zwei logische Ports unterteilt,  ein kontrollierter Port und  kann nur im autorisierten Zustand zur  Kommunikation benutzt werden ein unkontrollierter Port Kommunikation stets möglich eingeschränkte Recht

Das Format eines EAP Paketes ist in Abbildung 7 zu sehen. Es sind diese Felder vorhanden:

	Code kennzeichnet Typ des EAP Paketes; mögliche Werte  1) Anfrage 2) Antwort 3) Erfolg 4) Fehlschlag
	ID   kennzeichnenum zusammengehörige Anfragen und Antworten
	Länge   Längenangabe wird über das gesamte Paket
	Daten Interpretation dieses Feldes abhängig vom Code.  Code 3 (Erfolg) oder Code 4 (Fehlschlag)   Feld der Länge Null Code 1 (Anfrage) oder Code 2 (Antwort), erste Byte enthält Typ Antworten enthalten stets gleichen Typ wie Anfrage Ausnahme nur Typ NAK - wird in Antwort benutzt  - signalisiert, dass Anfrage nicht akzeptabel  Typen mit Wert größer oder gleich vier für Authentifizierung Bedeutung des Typ-Feldes

EAP over LAN (EAPOL) 

	Einkapselung zum Versenden von EAP Paketen zwischen  Client und Authentifizierer in LAN Umgebung
	Version: Bisher ist nur Version 1 standardisiert.
	Paket-Typ:  einfache Kapselung von EAP Paketen  Anpassung von EAP an PPP-Umgebung mit neuen Paketen: 0) EAP-Paket: Kapselung von EAP Paketen 1) EAPOL-Start: Client initiiert Authentifizierungsvorgangs 2) EAPOL-Logo: Client meldet sich ab und                        setzt Port zurück in unautorisierten Zustand 3) EAPOL-Key: Austausch von Schlüsselinformationen 4) EAPOL-Encapsulated-ASF-Alert: kann Alarme (z.B. für SNMP)                         an unautorisierten Port schicken
	Rumpflänge: umfasst die Länge des Paketrumpfes
	Paketrumpf:  Für EAPOL-Start und EAPOL-Logo Feld nicht vorhanden sonst je nach Typ ein  EAP Paket,  Alarm oder  Schlüsselinformationen.

Kommunikation zwischen Authentifizierer und Authentifizierungsserver 

	in der Regel RADIUS als Protokoll verwendet
	auch unter dem EAP over RADIUS bekannt

Es soll nun die Authentifizierung mittels EAP-MD5 etwas genauer vorgestellt werden. Zunächst einmal wird vom Authentifizierer die Identität des Client erfragt. Diese wird an den Authentifizierungsserver weitergeleitet, welcher daraufhin dem Client über den Authentifizierer eine Challenge zukommen läßt. Der Client antwortet hierauf mit einem 16 Byte langen MD5-Hash über der Konkatenation aus der EAP-ID, seinem Passwort und dem empfangenen Challenge-Text. Kann der Authentifizierungsserver die Richtigkeit des verwendeten Passwortes im Bezug auf die anfangs übermittelte Identität feststellen, so bestätigt er die erfolgreiche Authentifizierung. Andernfalls wird der Fehlschlag mitgeteilt. Der Client hat die Möglichkeit diesen Authentifizierungsprozess anzustoßen, indem er einen EAPOL-Start Rahmen sendet. Weiterhin kann er sich durch einen EAP-Logo Rahmen wieder abzumelden, um zu verhindern, dass der autorisierte Port von anderen weiterverwendet wird. Abbildung 9 verdeutlicht diesen Ablauf nochmals.