802.1X – Übersicht und EAP-Typen
| Hinweis | Diese Daten sind nicht für Benutzer in Heim- oder Kleinbüros vorgesehen, die in der Regel keine erweiterten Sicherheitsfunktionen wie die auf dieser Seite besprochenen Funktionen verwenden. Allerdings können diese Benutzer die Themen zu Informationszwecken interessant finden. |
802.1X – Übersicht
802.1X ist ein Port-Zugriffsprotokoll zum Schutz von Netzwerken durch Authentifizierung. Daher ist diese Art der Authentifizierungsmethode in WiFi-Umgebungen aufgrund der Art des Mediums äußerst nützlich. Wenn ein WiFi-Benutzer über 802.1X für den Netzwerkzugriff authentifiziert wird, wird ein virtueller Port auf dem Zugriffspunkt geöffnet, der die Kommunikation ermöglicht. Wenn die Autorisierung nicht erfolgreich abgeschlossen wurde, wird kein virtueller Port zur Verfügung gestellt und die Kommunikation wird blockiert.
Es gibt drei grundlegende Teile zur 802.1X-Authentifizierung:
- Supplicant Ein Software-Client, der auf der WiFi-Workstation ausgeführt wird.
- Authenticator Der WiFi-Zugangspunkt.
- Authentifizierungsserver Eine Authentifizierungsdatenbank, normalerweise ein Radius-Server wie Cisco ACS*, Funk Steel-Belted RADIUS* oder Microsoft IAS*.
Extensible Authentication Protocol (EAP) wird verwendet, um die Authentifizierungsinformationen zwischen dem Supplicant (der WiFi-Workstation) und dem Authentication Server (Microsoft IAS oder anderer) zu übertragen. Der EAP-Typ verarbeitet und definiert die Authentifizierung tatsächlich. Der als Authentifizierung fungierende Zugriffspunkt ist nur ein Proxy, der es dem Supplicant und dem Authentifizierungsserver ermöglicht, zu kommunizieren.
Welche sollte ich verwenden?
Welcher EAP-Typ implementiert werden soll oder ob 802.1X überhaupt implementiert werden muss, hängt von der Sicherheitsstufe ab, die das Unternehmen benötigt, sowie vom administrativen Aufwand und den gewünschten Funktionen. Hoffentlich erleichtern die hier angegebenen Beschreibungen und eine Vergleichstabelle die Schwierigkeiten, die Vielzahl der verfügbaren EAP-Typen zu verstehen.
EAP-Authentifizierungstypen (Extensible Authentication Protocol)
Da die Sicherheit des Wi-Fi Local Area Network (WLAN) unerlässlich ist und EAP-Authentifizierungstypen eine potenziell bessere Möglichkeit bieten, um eine WLAN-Verbindung zu sichern, entwickeln Anbieter ihre WLAN-Zugriffspunkte schnell und fügen EAP-Authentifizierungstypen hinzu. Zu den am häufigsten bereitgestellten EAP-Authentifizierungstypen gehören EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast und Cisco LEAP.
- EAP-MD-5 (Message Digest) Challenge ist ein EAP-Authentifizierungstyp, der Basis-EAP-Unterstützung bietet. EAP-MD-5 wird in der Regel nicht für WiFi-LAN-Implementierungen empfohlen, da dadurch möglicherweise das Passwort des Benutzers abgeleitet werden kann. Es bietet nur eine einseitige Authentifizierung – es gibt keine gegenseitige Authentifizierung von WiFi-Client und Netzwerk. Und sehr wichtig ist, dass es keine Möglichkeit bietet, dynamische WEP-Schlüssel (Wired Equivalent Privacy) pro Sitzung abzuleiten.
- EAP-TLS (Transport Layer Security) ermöglicht zertifikatsbasierte und gegenseitige Authentifizierung des Clients und des Netzwerks. Es baut auf client- und serverseitigen Zertifikaten zur Authentifizierung auf und kann verwendet werden, um benutzer- und sitzungsbasierte WEP-Schlüssel dynamisch zu generieren, um die nachfolgende Kommunikation zwischen dem WLAN-Client und dem Zugriffspunkt zu sichern. Ein Nachteil von EAP-TLS besteht darin, dass Zertifikate sowohl auf Client- als auch auf Serverseite verwaltet werden müssen. Bei einer großen WLAN-Installation kann dies eine sehr umständliche Aufgabe sein.
- EAP-TTLS (Tunneled Transport Layer Security) wurde von Funk Software* und Certicom* als Erweiterung von EAP-TLS entwickelt. Diese Sicherheitsmethode bietet eine zertifikatsbasierte, gegenseitige Authentifizierung des Clients und des Netzwerks über einen verschlüsselten Kanal (oder Tunnel) sowie eine Möglichkeit, um dynamische WEP-Schlüssel pro Benutzer und Sitzung abzuleiten. Im Gegensatz zu EAP-TLS erfordert EAP-TTLS nur serverseitige Zertifikate.
- EAP-FAST (Flexible Authentication via Secure Tunneling) wurde von Cisco* entwickelt. Anstatt ein Zertifikat zu verwenden, um eine gegenseitige Authentifizierung zu erzielen. EAP-FAST authentifiziert sich über PAC (Protected Access Credential), das vom Authentifizierungsserver dynamisch verwaltet werden kann. PAC kann dem Client entweder manuell oder automatisch bereitgestellt werden (einmalig). Die manuelle Bereitstellung an den Client erfolgt über eine Festplatte oder eine gesicherte Netzwerkverteilungsmethode. Die automatische Bereitstellung ist eine In-Band-, Over-the-Air-Verteilung.
- Die EAP-Methode (Extensible Authentication Protocol) für GSM Subscriber Identity (EAP-SIM) ist ein Mechanismus zur Authentifizierung und Verteilung von Sitzungsschlüsseln. Es verwendet das Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM). EAP-SIM verwendet einen dynamischen, sitzungsbasierten WEP-Schlüssel, der sich vom Client-Adapter und RADIUS-Server ableitet, um Daten zu verschlüsseln. EAP-SIM erfordert, dass Sie zur Kommunikation mit der SIM-Karte (Subscriber Identity Module) einen Benutzer-Verifizierungscode (eine PIN) eingeben. Eine SIM-Karte ist eine spezielle Smart Card, die von auf GSM (Global System for Mobile Communications) basierenden digitalen Funknetzwerken verwendet wird.
- Die EAP-AKA-Methode (Extensible Authentication Protocol for UMTS Authentication and Key Agreement) ist ein EAP-Mechanismus zur Authentifizierung und Verteilung von Sitzungsschlüsseln, der das Subscriber Identity Module (USIM) Universal Mobile Telecommunications System (UMTS) verwendet. Die USIM-Karte ist eine spezielle Smart Card, die in Mobilfunknetzwerken verwendet wird, um einen bestimmten Benutzer mit dem Netzwerk zu validieren.
- LEAP (Lightweight Extensible Authentication Protocol) ist ein EAP-Authentifizierungstyp, der hauptsächlich in Cisco Aironet* WLANs verwendet wird. Sie verschlüsselt Datenübertragungen mithilfe von dynamisch generierten WEP-Schlüsseln und unterstützt die gegenseitige Authentifizierung. Cisco hat das bisher proprietäre Produkt im Rahmen seines Cisco Compatible Extensions Programms an eine Vielzahl anderer Hersteller lizenziert.
- PEAP (Protected Extensible Authentication Protocol) bietet eine Methode zur sicheren Übertragung von Authentifizierungsdaten, einschließlich älterer passwortbasierter Protokolle, über 802.11 WiFi-Netzwerke. PEAP erzielt dies durch den Einsatz von Tunneling zwischen PEAP-Clients und einem Authentifizierungsserver. Wie die konkurrierende tTLS (Tunneled Transport Layer Security) authentifiziert PEAP WiFi-LAN-Clients mit nur serverseitigen Zertifikaten, was die Implementierung und Verwaltung eines sicheren WiFi-LAN vereinfacht. Von Microsoft, Cisco und RSA Security entwickeltes PEAP.
802.1X EAP-Typen Funktion/Vorteil | MD5 --- Message Digest 5 | TLS --- Sicherheit auf Transportebene | TTLS --- Sicherheit auf Tunnel-Transportebene | PEAP --- Sicherheit auf geschütztem Transportniveau | SCHNELL | SPRUNG --- Lightweight Extensible Authentication Protocol |
| Client-seitiges Zertifikat erforderlich | Nein | Ja | Nein | Nein | Nein (PAC) | Nein |
| Serverseitiges Zertifikat erforderlich | Nein | Ja | Ja | Ja | Nein (PAC) | Nein |
| WEP-Schlüsselverwaltung | Nein | Ja | Ja | Ja | Ja | Ja |
| Erkennung eines nicht autorisierten Zugriffspunkts | Nein | Nein | Nein | Nein | Ja | Ja |
| Anbieter | MS | MS | Funk | MS | Cisco | Cisco |
| Authentifizierungsattribute | Eine Möglichkeit | Gegenseitigen | Gegenseitigen | Gegenseitigen | Gegenseitigen | Gegenseitigen |
| Implementierungsschwierigkeiten | Einfach | Schwierig (aufgrund der Client-Zertifikatbereitstellung) | Moderate | Moderate | Moderate | Moderate |
| Wi-Fi-Sicherheit | Arm | Sehr hoch | Hoch | Hoch | Hoch | Hoch, wenn starke Passwörter verwendet werden. |
Eine Durchsicht der oben genannten Diskussionen und Tabelle liefert in der Regel die folgenden Schlussfolgerungen:
- MD5 wird in der Regel nicht verwendet, da es nur eine einseitige Authentifizierung macht, und möglicherweise noch wichtiger ist es, die automatische Verteilung und Rotation von WEP-Schlüsseln nicht zu unterstützen, was den administrativen Aufwand der manuellen WEP-Schlüsselwartung nicht lindert.
- TLS ist zwar sehr sicher, erfordert jedoch, dass auf jeder WiFi-Workstation Client-Zertifikate installiert werden. Die Wartung einer PKI-Infrastruktur erfordert zusätzlich zur Aufrechterhaltung des WLAN selbst zusätzliches administratives Fachwissen und Zeit.
- TTLS löst das Zertifikatsproblem durch Tunneling von TLS und eliminiert so die Notwendigkeit eines client-seitigen Zertifikats. Dies ist eine oft bevorzugte Option. Funk Software* ist der primäre Anbieter von TTLS, und die Supplicant- und Authentication-Server-Software ist kostenpflichtig.
- LEAP verfügt über die längste Geschichte und während zuvor Cisco-proprietär war (funktioniert nur mit Cisco WiFi-Adaptern), hat Cisco LEAP über sein Cisco Compatible Extensions-Programm an eine Vielzahl anderer Hersteller lizenziert. Eine strenge Passwortrichtlinie sollte erzwungen werden, wenn LEAP zur Authentifizierung verwendet wird.
- EAP-FAST ist jetzt für Unternehmen verfügbar, die keine strenge Passwortrichtlinie erzwingen können und keine Zertifikate zur Authentifizierung bereitstellen möchten.
- Das neuere PEAP funktioniert ähnlich wie EAP-TTLS, insofern dass es kein client-seitiges Zertifikat erfordert. PEAP wird von Cisco und Microsoft unterstützt und ist ohne zusätzliche Kosten von Microsoft verfügbar. Wenn der Übergang von LEAP zu PEAP gewünscht wird, werden auf dem ACS-Authentifizierungsserver von Cisco beide ausgeführt.
Eine weitere Option ist VPN
Anstatt sich für Authentifizierung und Datenschutz (Verschlüsselung) auf ein WiFi-LAN zu verlassen, implementieren viele Unternehmen ein VPN. Dies geschieht durch Platzierung der Zugriffspunkte außerhalb der Unternehmens-Firewall und die Überführung des Benutzer-Tunnels über einen VPN-Gateway, wie ein Remote-Benutzer. Die Nachteile bei der Implementierung einer VPN-Lösung sind die Kosten, die Komplexität der ersten Installation und der kontinuierliche Verwaltungsaufwand.