802.1X – Übersicht und EAP-Typen
Hinweis | Diese Daten sind nicht für Benutzer in Heim- oder Kleinbüros vorgesehen, die in der Regel keine erweiterten Sicherheitsfunktionen wie die auf dieser Seite besprochenen Funktionen verwenden. Allerdings können diese Benutzer die Themen zu Informationszwecken interessant finden. |
802.1X – Überblick
802.1X ist ein Port-Zugriffsprotokoll zum Schutz von Netzwerken durch Authentifizierung. Daher ist diese Art von Authentifizierungsmethode in WiFi-Umgebung aufgrund der Art des Mediums äußerst nützlich. Wenn ein WiFi-Benutzer über 802.1X für den Netzwerkzugriff authentifiziert wird, wird ein virtueller Port auf dem Zugriffspunkt geöffnet, der die Kommunikation ermöglicht. Wenn die Genehmigung nicht erfolgreich abgeschlossen wurde, wird kein virtueller Port zur Verfügung gestellt, und die Kommunikation wird blockiert.
Die 802.1X-Authentifizierung hat drei grundlegende Teile:
- Supplicant Ein Software-Client, der auf der WiFi-Workstation ausgeführt wird.
- Authenticator (Authentifizierer) Der WiFi-Zugriffspunkt.
- Authentifizierungsserver Eine Authentifizierungsdatenbank, normalerweise ein Radius-Server wie Cisco ACS*, Funk Steel-Belted RADIUS* oder Microsoft IAS*.
EAP (Extensible Authentication Protocol) wird verwendet, um die Authentifizierungsinformationen zwischen dem Supplicant (der WiFi-Workstation) und dem Authentifizierungsserver (Microsoft IAS oder anderen) zu übergeben. Der EAP-Typ verarbeitet und definiert die Authentifizierung tatsächlich. Der Zugriffspunkt, der als Authentifizierer wirkt, ist nur ein Proxy, der es dem Supplicant und dem Authentifizierungsserver ermöglicht, zu kommunizieren.
Was sollte ich verwenden?
Welcher EAP-Typ implementiert werden soll oder ob 802.1X überhaupt implementiert werden soll, hängt von der Sicherheitsstufe ab, die das Unternehmen benötigt, sowie vom administrativen Aufwand und den gewünschten Funktionen. Hoffentlich werden die hier beschriebenen Informationen und eine Vergleichstabelle die Schwierigkeiten beim Verständnis der verschiedenen verfügbaren EAP-Typen erleichtern.
EAP-Authentifizierungstypen (Extensible Authentication Protocol)
Da die Sicherheit des Wi-Fi Local Area Network (WLAN) unerlässlich ist und EAP-Authentifizierungstypen eine potenziell bessere Möglichkeit bieten, um eine WLAN-Verbindung zu sichern, entwickeln Anbieter ihre WLAN-Zugriffspunkte schnell und fügen EAP-Authentifizierungstypen hinzu. Zu den am häufigsten bereitgestellten EAP-Authentifizierungstypen gehören EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast und Cisco LEAP.
- EAP-MD-5 (Message Digest) Challenge ist ein EAP-Authentifizierungstyp, der EAP-Basisunterstützung bietet. EAP-MD-5 wird in der Regel nicht für WiFi-LAN-Implementierungen empfohlen, da dadurch möglicherweise das Passwort des Benutzers abgeleitet werden kann. Sie bietet nur eine one-way-Authentifizierung. Es gibt keine gegenseitige Authentifizierung von WiFi-Client und Netzwerk. Und besonders wichtig ist, dass es keine Möglichkeit bietet, dynamische WEP-Schlüssel (wired equivalent privacy) pro Sitzung zu leiten.
- EAP-TLS (Transport Layer Security) bietet zertifikatsbasierte und gegenseitige Authentifizierung des Clients und des Netzwerks. Sie baut zur Authentifizierung auf client- und serverseitigen Zertifikaten auf und kann verwendet werden, um benutzer- und sitzungsbasierte WEP-Schlüssel dynamisch zu generieren, um die nachfolgende Kommunikation zwischen dem WLAN-Client und dem Zugriffspunkt zu sichern. Ein Nachteil von EAP-TLS besteht darin, dass Zertifikate sowohl auf Client- als auch auf Serverseite verwaltet werden müssen. Bei einer großen WLAN-Installation kann dies eine sehr umständliche Aufgabe sein.
- EAP-TTLS (Tunneled Transport Layer Security) wurde von Funk Software* und Certicom* als Erweiterung von EAP-TLS entwickelt. Diese Sicherheitsmethode ermöglicht die zertifikatsbasierte, gegenseitige Authentifizierung des Clients und des Netzwerks über einen verschlüsselten Kanal (oder Tunnel) sowie eine Möglichkeit, um dynamische WEP-Schlüssel pro Benutzer und Sitzung ableitung zu erhalten. Im Unterschied zu EAP-TLS erfordert EAP-TTLS nur serverseitige Zertifikate.
- EAP-FAST (Flexible Authentication via Secure Tunneling) wurde von Cisco* entwickelt. Anstatt ein Zertifikat zu verwenden, um die gegenseitige Authentifizierung zu erreichen. EAP-FAST authentifiziert sich über PAC (Protected Access Credential), was vom Authentifizierungsserver dynamisch verwaltet werden kann. PAC kann dem Client entweder manuell oder automatisch bereitgestellt werden (einmal verteilt). Die manuelle Bereitstellung an den Client erfolgt über Datenträger oder gesicherte Netzwerkbereitstellungsmethode. Die automatische Bereitstellung ist eine In-Band-, Over-the-Air-Verteilung.
- Die EAP-Methode (Extensible Authentication Protocol) für GSM Subscriber Identity (EAP-SIM) ist ein Mechanismus zur Authentifizierung und Verteilung von Sitzungsschlüsseln. Sie verwendet das Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM). EAP-SIM verwendet einen dynamischen sitzungsbasierten WEP-Schlüssel zur Datenverschlüsselung, der sich vom Client-Adapter und RADIUS-Server leitet. EAP-SIM erfordert, dass Sie einen Benutzerbestätigungscode oder eine PIN eingeben, um mit der SIM-Karte (Subscriber Identity Module) kommunizieren zu können. Eine SIM-Karte ist eine spezielle Smart Card, die von auf GSM (Global System for Mobile Communications) basierenden digitalen Funknetzwerken verwendet wird.
- Die EAP-AKA-Methode (Extensible Authentication Protocol for UMTS Authentication and Key Agreement) ist ein EAP-Mechanismus zur Authentifizierung und Verteilung von Sitzungsschlüsseln, der das Subscriber Identity Module (USIM) UMTS (Universal Mobile Telecommunications System) verwendet. Die USIM-Karte ist eine spezielle Smart Card, die in Mobilfunknetzwerken verwendet wird, um einen bestimmten Benutzer im Netzwerk zu validieren.
- LEAP (Lightweight Extensible Authentication Protocol) ist ein EAP-Authentifizierungstyp, der vorwiegend in Cisco Aironet* WLANs verwendet wird. Sie verschlüsselt Datenübertragungen mithilfe von dynamisch generierten WEP-Schlüsseln und unterstützt die gegenseitige Authentifizierung. Bisher proprietäres Cisco hat LEAP über sein Cisco Compatible Extensions Programm an eine Vielzahl anderer Hersteller lizenziert.
- PEAP (Protected Extensible Authentication Protocol) bietet eine Methode zur sicheren Übertragung von Authentifizierungsdaten, einschließlich veralteter passwortbasierter Protokolle über 802.11 WiFi-Netzwerke. PEAP erreicht dies durch den Einsatz von Tunneling zwischen PEAP-Clients und einem Authentifizierungsserver. Wie der konkurrierende Standard Tunneled Transport Layer Security (TTLS) authentifiziert PEAP WiFi-LAN-Clients nur mit serverseitigen Zertifikaten, was die Implementierung und Verwaltung eines sicheren WiFi-LAN vereinfacht. Microsoft, Cisco und RSA Security haben PEAP entwickelt.
802.1X EAP-Typen Funktion/Vorteil | MD5 --- Message Digest 5 | Tls --- Sicherheit auf Transportebene | Ttls --- Sicherheit auf Tunnel-Transportebene | Peap --- Sicherheit auf geschützter Transportebene | schnell | Sprung --- Einfaches erweiterbares Authentifizierungsprotokoll |
Client-seitiges Zertifikat erforderlich | Nein | Ja | Nein | Nein | Nein (PAC) | Nein |
Serverseitiges Zertifikat erforderlich | Nein | Ja | Ja | Ja | Nein (PAC) | Nein |
WEP-Schlüsselverwaltung | Nein | Ja | Ja | Ja | Ja | Ja |
Erkennung eines nicht autorisierten Zugriffspunkts | Nein | Nein | Nein | Nein | Ja | Ja |
Anbieter | Ms | Ms | Funk | Ms | Cisco | Cisco |
Authentifizierungsattribute | Eine Art und Weise | Gegenseitigen | Gegenseitigen | Gegenseitigen | Gegenseitigen | Gegenseitigen |
Implementierungsschwierigkeiten | Einfach | Schwierig (aufgrund der Client-Zertifikatbereitstellung) | Moderate | Moderate | Moderate | Moderate |
Wi-Fi-Sicherheit | Arm | Sehr hoch | Hoch | Hoch | Hoch | Hoch, wenn starke Passwörter verwendet werden. |
Eine Überprüfung der oben genannten Diskussionen und Tabelle liefert in der Regel die folgenden Schlussfolgerungen:
- MD5 wird in der Regel nicht verwendet, da es nur eine one-way-Authentifizierung tut, und (was noch wichtiger ist) nicht die automatische Verteilung und Rotation von WEP-Schlüsseln unterstützt, was den administrativen Aufwand der manuellen WEP-Schlüsselwartung nicht lindert.
- TLS ist zwar äußerst sicher, erfordert jedoch, dass auf jeder WiFi-Workstation Client-Zertifikate installiert werden. Die Wartung einer PKI-Infrastruktur erfordert zusätzliche administrative Fachkenntnisse und Zeit, zusätzlich zur Wartung des WLAN selbst.
- TTLS löst das Zertifikatsproblem durch Tunneling von TLS und eliminiert dadurch die Notwendigkeit eines client-seitigem Zertifikats. Dies ist daher oft eine bevorzugte Option. Funk Software* ist der größte Anbieter von TTLS, und die Supplicant- und Authentifizierungsserver-Software ist kostenpflichtig.
- LEAP verfügt über die längste Geschichte, und während dies zuvor Cisco-proprietär war (funktioniert nur mit Cisco WiFi-Adaptern), hat Cisco LEAP über sein Cisco Compatible Extensions-Programm für eine Vielzahl anderer Hersteller lizenziert. Bei der Verwendung von LEAP zur Authentifizierung muss eine starke Passwortrichtlinie erzwungen werden.
- EAP-FAST ist jetzt für Unternehmen verfügbar, die keine starke Passwortrichtlinie erzwingen können und keine Zertifikate zur Authentifizierung bereitstellen möchten.
- Das neuere PEAP funktioniert ähnlich wie EAP-TTLS, da es kein client-seitiges Zertifikat erfordert. PEAP wird von Cisco und Microsoft unterstützt und ist kostenlos von Microsoft erhältlich. Wenn der Übergang von LEAP zu PEAP gewünscht wird, werden auf dem ACS-Authentifizierungsserver von Cisco beide ausgeführt.
VPN ist eine weitere Option.
Anstatt sich auf ein WiFi-LAN zur Authentifizierung und zum Datenschutz (Verschlüsselung) zu verlassen, implementieren viele Unternehmen ein VPN. Dies geschieht durch Platzierung der Zugriffspunkte außerhalb der Firewall des Unternehmens und die Überführung des Benutzer-Tunnels über einen VPN-Gateway, als ob es sich um einen Remote-Benutzer handelte. Die Nachteile bei der Implementierung einer VPN-Lösung sind die Kosten, die Komplexität der anfänglichen Installation und der kontinuierliche Verwaltungsaufwand.