IEEE 802.1x
IEEE 802.1x ist ein sicheres Authentifizierungsverfahren für Anwendungen im LAN. Der Kern von IEEE 802.1x ist das Protokoll EAP (Extensible Authentication Protocol), das ursprünglich als Erweiterung für PPP-Verbindungen entwickelt wurde.
Wie funktioniert 802.1x?
In Abhängigkeit einer erfolgreichen Authentifizierung wird der Zugang zum Netzwerk über einen bestimmten Port freigeschaltet. Wegen dem Bezug auf einen Port wird IEEE 802.1x auch als "Port-Based Network Access Control" bezeichnet.
Für IEEE 802.1x kann ein Port eine Buchse an einem Switch oder eine logische Assoziation sein. Denkbar ist hier die Zugangsmöglichkeit zum Netzwerk für einen WLAN-Client an einem WLAN-Access-Point.
Bestandteil eines Authentifizierungssystems wie IEEE 802.1x ist der Supplicant (Antragsteller), der Authenticator (Beglaubigter) und ein Authentication Server, der den Antrag des Supplicant überprüft und seine Entscheidung dem Authenticator mitteilt.
Die Kommunikation zwischen Supplicant und Authenticator erfolgt über das Extensible Authentication Protocol over LAN (EAPoL). Die Kommunikation zwischen Authenticator und Authentication Server erfolgt über in RADIUS-Paketen gekapselte EAP-Pakete.
IEEE 802.1x beschreibt die Einbettung von EAP-Datagrammen in MAC-Frames. Das ermöglicht den Austausch von Authentifizierungsnachrichten auf der Schicht 2 des OSI-Schichtenmodells.
RADIUS - Remote Authentication Dial In User Service
Innerhalb eines großen Netzwerks findet die Verwaltung und Speicherung von Benutzerdaten an einer zentralen Stelle statt. Diese Daten dienen auch zur Authentifizierung von Benutzern, die sich am Netzwerk anmelden.
Kommt es zu einem Zugriff von außen auf das Netzwerk wird eine RAS- oder VPN-Verbindung hergestellt. Über diese Verbindung muss der Benutzer authentifiziert werden, bevor er Zugriff auf das Netzwerk bekommt.
Das Bindeglied zwischen der zentralen Benutzerverwaltung und dem RAS ist der RADIUS. Obwohl IEEE 802.1x keinen RADIUS-Server vorschreibt, sind die meisten Authenticatoren in der Praxis RADIUS-Clients. Das RADIUS-Protokoll übernimmt die Authentifizierung und Verschlüsselung, sowie das Accounting. Vom RADIUS-Server wird der Anfang und das Ende der Benutzung einer Leistung protokolliert und kann zu Abrechnungszwecken herangezogen werden.
Radius kennt drei Pakettypen, deren Namen so lauten, wie ihre Funktion:
- Access-Request (Bitte um Freigabe des Zugriffs)
- Access-Accept (Annahme für die Freigabe des Zugriffs)
- Access-Reject (Ablehnung der Freigabe)
Die RADIUS-Nachrichten werden auf IP-Ebene mit UDP-Paketen versendet. Die Informationen stecken in Attribute-Value Pairs (AVP).
TACACS - Terminal Access Controller Access Control Server
TACACS ist in gewissen Bereichen dem RADIUS ähnlich. So stellt ein Client eine Authentifizierungsanfrage an einen NAS (Network Access Server), der diese Anfrage an den zentralen TACACS-Server weiterleitet.
Weitere verwandte Themen:
- EAP - Extensible Authentication Protocol
- AAA - Authentication Authorization Accounting
- Sicherheit in Netzwerken
- PPP - Point-to-Point-Protocol