Sicherheit durch IEEE 802.1X
|
Schwächen der in IEEE 802.11 eingeführten
Authentifizierung,
|
Alternative
nötig |
|
|
Standard
IEEE 802.1X
|
ursprünglich für drahtgebundene Netze entwickelt |
|
spezifiziert Grundgerüst
für eigentliche Authentifizierung |
|
Unterscheidung zwischen
|
Client (Supplicant),
|
möchte sich in Netzwerk authentifizieren
, |
|
|
Authentifizierer (Authenticator)
|
fungiert als Kommunikationspartner für
Client |
|
i.d.R. Access Point Rolle des Authentifizierers. |
|
|
Authentifizierungsserver (Authentication Server),
|
führt eigentliche Authentifizierung durch |
|
i.d.R. ein RADIUS-Server
(Remote Access Dial-Up User Service) |
|
|
|
|
Authentifizierungsmethode durch IEEE 802.1X
nicht festgelegt.
|
IEEE 802.1X basiert auf Extensible Authentication Protocol
(EAP), (RFC 2284) |
|
ursprünglich für Verwendung im Point-to-Point
Protocol (PPP) entwickelt |
|
wird von Vielzahl von Authentifizierungsmethoden
unterstützt |
|
Implementierung von EAP-MD5 für EAP vorgeschrieben |
|
|
Autorisation auf Grundlage von
Ports (Bild oben)
|
Port wird in zwei logische Ports unterteilt,
|
ein kontrollierter Port und
|
kann nur im autorisierten Zustand zur
Kommunikation benutzt werden |
|
|
ein unkontrollierter Port
|
Kommunikation stets möglich |
|
eingeschränkte Recht |
|
|
|
Abbildung
7
|
Das Format eines EAP Paketes ist in Abbildung 7 zu sehen. Es
sind diese Felder vorhanden:
|
Code
kennzeichnet Typ des EAP Paketes; mögliche Werte
1) Anfrage
2) Antwort
3) Erfolg
4) Fehlschlag |
|
ID
kennzeichnenum zusammengehörige Anfragen und
Antworten |
|
Länge
Längenangabe wird über das gesamte Paket |
|
Daten
Interpretation dieses Feldes abhängig vom
Code.
|
Code 3 (Erfolg) oder Code 4
(Fehlschlag)
|
Feld der Länge Null |
|
|
Code 1 (Anfrage) oder Code 2 (Antwort),
|
erste Byte enthält Typ |
|
Antworten enthalten stets gleichen Typ wie
Anfrage
|
Ausnahme nur Typ NAK
- wird in Antwort
benutzt
- signalisiert, dass Anfrage nicht akzeptabel |
|
|
Typen mit Wert größer oder gleich vier für Authentifizierung |
|
Bedeutung des Typ-Feldes |
|
|
|
-
Identität:
- i.d.R. vom
Authentifizierer in erster Anfrage verwendet
- ermittelt Identität des
Clients
- Datenfeld kann Text für
Abfrage der Identität enthalten
-
Benachrichtigung:
- Authentifizierer kann
Nachrichten an Client senden
- Anfrage als Information für Benutzer
gedacht
- Antwort als Bestätigung
erwartet
enthält außer Typ keine Daten.
-
NAK:
- ablehnen einer Authentifizierungsmethode
- vorschlagen einer Alternative
- in Form eines Byte direkt nach Typ angegeben
-
MD5-Challenge:
- Authentifizierungsmethode
- muss von
jeder EAP Implementierung unterstützt werden
- analog CHAP Protokoll
Abbildung
8
|
EAP
over LAN (EAPOL)
|
Einkapselung zum Versenden von EAP Paketen zwischen
Client und
Authentifizierer in LAN Umgebung |
|
Version: Bisher ist nur Version 1 standardisiert. |
|
Paket-Typ:
|
einfache Kapselung von EAP Paketen |
|
Anpassung von EAP an
PPP-Umgebung mit neuen Paketen:
|
0) EAP-Paket: Kapselung von EAP Paketen |
|
1) EAPOL-Start: Client initiiert Authentifizierungsvorgangs |
|
2) EAPOL-Logo: Client meldet sich ab und
setzt Port zurück in unautorisierten Zustand |
|
3) EAPOL-Key: Austausch von Schlüsselinformationen |
|
4) EAPOL-Encapsulated-ASF-Alert: kann Alarme
(z.B. für SNMP)
an unautorisierten Port schicken |
|
|
|
Rumpflänge: umfasst die Länge des Paketrumpfes |
|
Paketrumpf:
|
Für EAPOL-Start und EAPOL-Logo Feld nicht vorhanden |
|
sonst je nach Typ ein
|
EAP
Paket, |
|
Alarm oder |
|
Schlüsselinformationen. |
|
|
|
|
Kommunikation zwischen Authentifizierer und
Authentifizierungsserver
|
in der Regel RADIUS als Protokoll verwendet |
|
auch unter dem EAP over RADIUS bekannt |
|
|
Es soll nun die Authentifizierung mittels EAP-MD5 etwas genauer
vorgestellt werden. Zunächst einmal wird vom Authentifizierer die Identität
des Client erfragt. Diese wird an den Authentifizierungsserver weitergeleitet,
welcher daraufhin dem Client über den Authentifizierer eine Challenge zukommen
läßt. Der Client antwortet hierauf mit einem 16 Byte langen MD5-Hash über der
Konkatenation aus der EAP-ID, seinem Passwort und dem empfangenen Challenge-Text.
Kann der Authentifizierungsserver die Richtigkeit des verwendeten Passwortes im
Bezug auf die anfangs übermittelte Identität feststellen, so bestätigt er die
erfolgreiche Authentifizierung. Andernfalls wird der Fehlschlag mitgeteilt. Der
Client hat die Möglichkeit diesen Authentifizierungsprozess anzustoßen, indem
er einen EAPOL-Start Rahmen sendet. Weiterhin kann er sich durch einen EAP-Logo
Rahmen wieder abzumelden, um zu verhindern, dass der autorisierte Port von
anderen weiterverwendet wird. Abbildung 9 verdeutlicht diesen Ablauf nochmals. |
Abbildung
9
|