Einleitung zu 802.1X

Der von der IEEE im Juni 2001 entwickelte Standard IEEE 802.1X gestattet die Authentifizierung von Benutzern, die auf ein Netzwerk (mit oder ohne Kabel) zugreifen wollen, mit Hilfe einesAuthentifzierungsservers.

Der 802.1X basiert auf einem Protokoll namens EAP (Extensible Authentication Protocol), definiert durchIETF, dessen Aufgabe der Transport der Informationen zurIdentifikation der Benutzer ist.

EAP

Die Funktionsweise des EAP Protokolls beruht auf der Verwendung eines Authenticators (auf englisch authenticator), der den Zugang oder die Abweisung zum Netzwerk für einen Benutzer (auf englisch supplicant). Der Authenticator ist ein einfacher Schranken, der als Mittler zwischen dem Teilnehmer und dem Authentifizierungsserver fungiert (auf englisch Authentification Server), er benötigt für seine Funktion nur sehr wenig Ressourcen. Im Fall eines drahtlosen Netzwerkesspielt der Access Point die Rolle des Authenticators.

Der Authentifizierungsserver (manchmal kurz mit NASfür Network Authentification Serviceübersetzt Netzwerk Authentifizierungs Service, beziehungsweise Network Access Service, für Netzwerkzugangsserver) ermöglicht die Genehmigung der vom Netzwerk-Controller übermittelten Benutzeridentität und die Zuweisung der Benutzerrechte je nach den erhaltenen Idenfitikationsinformationen. Außerdem gestattet ein solcher Server die Speicherung und Nutzung von Benutzerinformationen, z.B. im Hinblick auf eine zeit- oder mengenabhängige Fakturierung (z.B. im Fall eines Zugangsproviders).

Meistens handelt es sich bei einem Authentifizierungsserver um einen RADIUS-Server (Remote Authentication Dial In User Service), einem standardmäßig gebrauchter Authentifizierungsserver, festgelegt durch die RFC 2865 und 2866. Es kann aber auch jeder andere Authentifizierungsdienst verwendet werden.

Die folgende Gesamtdarstellung fasst die Funktionsweise eines mit 802.1x gesicherten Netzwerks grob zusammen :

1. Der Authenticator, der auf die Verbindungsanfrage eines Benutzers reagiert, schickt eine Identifizierungsaufforderung ;
2. Der Benutzer schickt dem Authenticator eine Antwort, die dieser an den Authentifizierungsserver weiterleitet ;
3. Der Authentifizierungsserver schickt dem Authenticator eine « Challenge ». Die Challenge ist eine Identifikationsmethode. Wenn der Client die Methode nicht unterstützt, schlägt der Server eine andere Methode vor, und so weiter ;
4. Der Benutzer antwortet auf die Challenge. Wenn die Benutzeridentität richtig ist, schickt der Authentifizierungsserver seine Zustimmung an den Authenticator, der daraufhin den Benutzer gemäß seinen Rechten im gesamten Netzwerk oder nur einem Teil akzeptiert. Konnte die Benutzeridentität nicht erkannt werden, dann schickt der Authentifizierungsserver eine Ablehnung und der Authenticator verweigert dem Benutzer den Netzwerkzugriff.

Austausch von Chiffrierungsschlüsseln

Der IEEE 802.1X-Standard ermöglicht neben der Benutzerauthentifizierung auch die sichere Änderung der Chiffrierungsschlüssel der Benutzer zwecks Erhöhung der Gesamtsicherheit.

Letzte Änderung am Mittwoch 1 April 2009 à 14:16:17.Das Dokument mit dem titel « 802.1X/EAP » aus Kioskea (de.kioskea.net) zur verfügung gestellt wird unter den bedingungen der Creative Commons lizenz. Können Sie ändern, Kopien dieser Seite, unter den Bedingungen der Lizenz, als diese Bewertung deutlich.