EAP - Extensible Authentication Protocol

Das Extensible Authentication Protocol, kurz EAP, ist ein Protokoll zur Authentifizierung in lokalen Netzwerken mit IEEE 802.1x/RADIUS. Die Aufgabe von EAP ist sicherzustellen, dass der Zugang zu einem Netzwerk erst nach erfolgreich abgeschlossener Authentifizierung möglich ist.

EAP arbeitet üblicherweise auf der Schicht 2 des OSI-Schichtenmodells. Allerdings ist es nicht an diese Schicht gebunden. Je nach dem, auf welcher Schicht EAP arbeitet, überträgt es die Authentifizierungsdaten im Klartext. Es empfiehlt sich EAP-Varianten zu verwenden, die eine verschlüsselte und gesicherte EAP-Kommunikation vorsehen.
Ein Vorteil von EAP ist, dass es ein Framework ist, dass sich jederzeit um weitere Verfahren erweitern lässt.

EAP vs. PPP

EAP war ursprünglich eine Erweiterung von PPP. Die Aufgabe von EAP war sicherzustellen, dass eine Verbindung zu einem Netzwerk mit PPP erst nach erfolgreich abgeschlossener Authentifizierung möglich war.
Im Gegensatz zu PPP ist EAP nicht auf Internet-Zugänge über Analogmodem- und ISDN-Verbindungen oder Festverbindungen beschränkt. EAP findet man zum Beispiel im LAN und WLAN.

Ablauf der Authentifizierung mit IEEE 802.1x/EAP

Authentisierung / Authentication

Der Standard IEEE 802.lx zur Authentifizierung im lokalen Netzwerk unterscheidet verschiedene Geräte zwischen denen die Kommunikation mit EAP erfolgt.

  • Supplicant: Geräte bzw. Clients, die den Zugriff auf das Netzwerk haben wollen.
  • Authenticator: Router, Switch, Wireless Access Point (WAP) oder ein VPN-Gateway, dass als Netzzugangspunkt dient.
  • Authentication Server: RADIUS-Server

Der Einsatz von EAP oder eine Variante davon erfolgt oft im Rahmen einer Authentifizierung im lokalen Netzwerk mit IEEE 802.1x und RADIUS. Bei der Authentifizierung erfolgt die Kommunikation zwischen Supplicant und Authenticator über EAP. Auch die Kommunikation zwischen Authenticator und Authentication Server erfolgt über in RADIUS-Paketen gekapselte EAP-Pakete.

EAP-Varianten

Das Extensible Authentication Protocol ermöglicht die Authentifizierung im lokalen Netzwerk in Kombination mit verschiedenen Verfahren. Dadurch ist es möglich, EAP mit kryptografischen Verfahren und Protokollen sicherer einzusetzen.

  • EAPoL - EAP over LAN
  • PEAP - Protected EAP
  • EAP-TLS - EAP mit TLS
  • EAP-TTLS - EAP mit Tunnelled TLS (Variante von EAP-TLS)
  • LEAP - Lightweight EAP (von Cisco)

PEAP - Protected EAP

Bei PEAP wird über das Zertifikat vom Authenticator im Netzwerk, mit dem man sich verbinden will, authentifiziert. Aber, der Supplicant muss diesem Zertifikat vertrauen. Anschließend wird eine verschlüsselte Verbindung aufgebaut, innerhalb der sich der Supplicant bzw. Benutzer (z. B. über MS-CHAP) authentifiziert. Danach wird ein Sitzungsschlüssel ausgehandelt. Zum Beispiel für eine verschlüsselte WLAN-Verbindung.

EAP-TLS

Während man bei PEAP nur ein Zertifikat beim Authenticator benötigt. Benötigen bei EAP-TLS Supplicant und der Authenticator beide ein Zertifikat. Das heißt, es findet eine gegenseitige Authentifizierung statt. Das heißt, EAP mit TLS ist sicherer als PEAP.

Weitere verwandte Themen:

Teilen

Produktempfehlungen

Alles was Sie über Netzwerke wissen müssen.

Netzwerktechnik-Fibel

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Alles was Sie über Netzwerke wissen müssen.

Netzwerktechnik-Fibel

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!