Drucken

802.1X/EAP

Einleitung zu 802.1X

Der von der IEEE im Juni 2001 entwickelte Standard IEEE 802.1X gestattet die Authentifizierung von Benutzern, die auf ein Netzwerk (mit oder ohne Kabel) zugreifen wollen, mit Hilfe einesAuthentifzierungsservers.

Der 802.1X basiert auf einem Protokoll namens EAP (Extensible Authentication Protocol), definiert durchIETF, dessen Aufgabe der Transport der Informationen zurIdentifikation der Benutzer ist.

EAP

Die Funktionsweise des EAP Protokolls beruht auf der Verwendung eines Authenticators (auf englisch authenticator), der den Zugang oder die Abweisung zum Netzwerk für einen Benutzer (auf englisch supplicant). Der Authenticator ist ein einfacher Schranken, der als Mittler zwischen dem Teilnehmer und dem Authentifizierungsserver fungiert (auf englisch Authentification Server), er benötigt für seine Funktion nur sehr wenig Ressourcen. Im Fall eines drahtlosen Netzwerkesspielt der Access Point die Rolle des Authenticators.

Der Authentifizierungsserver (manchmal kurz mit NASfür Network Authentification Serviceübersetzt Netzwerk Authentifizierungs Service, beziehungsweise Network Access Service, für Netzwerkzugangsserver) ermöglicht die Genehmigung der vom Netzwerk-Controller übermittelten Benutzeridentität und die Zuweisung der Benutzerrechte je nach den erhaltenen Idenfitikationsinformationen. Außerdem gestattet ein solcher Server die Speicherung und Nutzung von Benutzerinformationen, z.B. im Hinblick auf eine zeit- oder mengenabhängige Fakturierung (z.B. im Fall eines Zugangsproviders).

Meistens handelt es sich bei einem Authentifizierungsserver um einen RADIUS-Server (Remote Authentication Dial In User Service), einem standardmäßig gebrauchter Authentifizierungsserver, festgelegt durch die RFC 2865 und 2866. Es kann aber auch jeder andere Authentifizierungsdienst verwendet werden.

Die folgende Gesamtdarstellung fasst die Funktionsweise eines mit 802.1x gesicherten Netzwerks grob zusammen :

Der Authenticator, der auf die Verbindungsanfrage eines Benutzers reagiert, schickt eine Identifizierungsaufforderung ;
Der Benutzer schickt dem Authenticator eine Antwort, die dieser an den Authentifizierungsserver weiterleitet ;
Der Authentifizierungsserver schickt dem Authenticator eine « Challenge ». Die Challenge ist eine Identifikationsmethode. Wenn der Client die Methode nicht unterstützt, schlägt der Server eine andere Methode vor, und so weiter ;
Der Benutzer antwortet auf die Challenge. Wenn die Benutzeridentität richtig ist, schickt der Authentifizierungsserver seine Zustimmung an den Authenticator, der daraufhin den Benutzer gemäß seinen Rechten im gesamten Netzwerk oder nur einem Teil akzeptiert. Konnte die Benutzeridentität nicht erkannt werden, dann schickt der Authentifizierungsserver eine Ablehnung und der Authenticator verweigert dem Benutzer den Netzwerkzugriff.

Austausch von Chiffrierungsschlüsseln

Der IEEE 802.1X-Standard ermöglicht neben der Benutzerauthentifizierung auch die sichere Änderung der Chiffrierungsschlüssel der Benutzer zwecks Erhöhung der Gesamtsicherheit.

Letzte Änderung am Mittwoch April 1, 2009 02:16:17 von Jeff

Das Dokument mit dem Titel « 802.1X/EAP » aus Kioskea.net (de.kioskea.net) wird zur Verfügung gestellt unter den Bedingungen der Creative Commons Lizenz. Sie dürfen das Dokument verwenden, verändern sowie Vervielfältigungen dieser Seite erstellen, unter den Bedingungen, die in der vorgenannten Lizenz erwähnt sind und unter der gleichzeitigen Bedingung, dass Sie im Rahmen Ihrer Verwendung, Veränderung oder Vervielfältigung nach außen hin klar und deutlich auf den Urheber (= de.kioskea.net) des Dokuments hinweisen.

WPA2

WiFi

Anregungen

802.1x
Die Ausbreitung von Radiowellen (802.11) » Themen
Mit drahtlosen Wifi-Netzwerken (802.11 oder Wi-Fi) verbundene Ri » Themen
802.11i / WPA2 » Themen
Die Sicherheit der drahtlosen Wifi-Netzwerke (802.11 oder Wifi) » Themen
Die Wi-Fi Sicherungsschicht (802.11 oder WiFI) » Themen

Mehr