IEEE-802.1X-Protokoll und Zertifikate
Zugangskontrolle auch für Wireless LANs
Der IEEE-Standard 802.1X war ursprünglich für den kontrollierten Zugang bei verkabelten Netzwerken konzipiert. Inzwischen lässt er sich jedoch auch in Wireless-LAN-Umgebungen einsetzen und spielt dort eine zunehmend wichtige Rolle. Der Beitrag beleuchtet unter diesem Einsatzaspekt die Nutzung von 802.1X für die Zugangskontrolle und als erweiterte Sicherheitsfunktion in WLANs. Neben 802.1X selbst ist auch das Zusammenspiel mit RADIUS, EAP sowie Zertifikaten genauer zu betrachten.
Vor dem Hintergrund, dass Angriffe auf IT-Firmennetzwerke stetig zunehmen, müssen sich
Systemverantwortliche stets Gedanken über die verbesserte Absicherung des Netzwerkzugriffs machen.
Neben Geräten wie Firewalls und Intrusion-Prevention-/Detection-Systemen, die im Wesentlichen den
Datenverkehr überprüfen, gilt es, die Benutzer vorzeitig beim Versuch des Netzwerkzugriffs zu
überprüfen. Hier greift der schon im Jahr 2001 verabschiedete IEEE-802.1X-Protokollstandard. Im
Zusammenspiel mit einem RADIUS-Server erlaubt er eine so genannte Port-basierende Authentisierung
und wurde ursprünglich für den Zugriff über LAN-Switches konzipiert. Aktuell erfreut sich dieser
Standard zunehmender Beliebtheit in Wireless-LAN-Umgebungen.
Die Idee zu 802.1X kam von Institutionen, die den Zugang zu öffentlichen Netzwerken
kontrollieren wollten (Universitäten, Behörden, Bibliotheken etc.). Die gewünschte Lösung sollte
kostengünstig und einfach zu implementieren sein. Dabei sollten sowohl die bestehende
Netzwerkinfrastruktur als auch etablierte Protokolle weiterhin Verwendung finden. VPN erfüllte zwar
einige der Voraussetzungen, schied aber als generelle Lösung aufgrund der hohen
Ressourcenanforderungen und der komplexen Konfiguration aus. Das Konzept für 802.1X wurde
schließlich gemeinsam von 3Com, HP und Microsoft entwickelt und im Juni 2001 als IEEE-Standard
verabschiedet.
Ursprünglich zielte dieses Modell nur auf Switches (802.1D), erst später kam die Erweiterung
für den WLAN-Standard 802.11 hinzu.
Zahlreiche nützliche Funktionen von 802.1X
Der IEEE-Standard 802.1X stellt eine wichtige Weiterentwicklung im Sicherheitskonzept für
Netzwerke dar und bietet eine Möglichkeit, schon an einem Netzwerkzugangs-Port eine
Benutzeridentifizierung vornehmen zu können. Damit lassen sich folgende Funktionen realisieren:
Zugangskontrolle (benutzerorientiertes Regelsystem),
Abrechnung (also Billing und Accounting),
Bandbreitenzuweisung (QoS pro Benutzer) sowie
Anlegen von Benutzerprofilen (User Personalized Network – UPN).
Mit der Funktion "Single Sign-on" können sich die Benutzer mit einer einzigen, primären
Authentifizierung an verschiedenen Systemen und Anwendungen gleichzeitig anmelden, zum Beispiel bei
Einwahl-Servern, Firewalls, VPNs oder Wireless LANs. Dabei erfolgt die Authentifizierung des
Benutzers einmalig an einem zentralen RADIUS-Server.
Die Rolle von RADIUS: AAA-Szenarien
Alle Provider, die eine Einwahl in ein Netzwerk ermöglichen, stehen vor einem großen Problem.
Sie bieten zum Beispiel einer Vielzahl von Benutzern an verschiedenen Orten Zugang zum Internet.
Zur Gewährleistung der Sicherheit ist genauestens zu prüfen, wer Zugang zum Netzwerk erhält, um
gleich von vornherein einen Missbrauch der Server-Dienste auszuschließen.
Des Weiteren benötigen die Provider möglicherweise Mechanismen, die ihnen eine Erfassung und
Berechnung der Online-Zeiten für die Benutzer gewährleisten. Daher ist ein leistungsfähiges System
erforderlich, das die folgenden Aufgaben zentral übernehmen kann: Authentisierung, Autorisierung
und Accounting (AAA).
Diese Aufgabenstellungen löst der "Re-mote Authentication Dial-in User Service", kurz RADIUS.
Er ist in RFC 2865 spezifiziert und kommuniziert über den UDP-Port 1812. Ein Network Access Server
(NAS) fungiert als Client des RADIUS-Servers. Letzterer kann auch als Proxy für andere
RADIUS-Server oder auch andere Arten von Authentifizierungs-Servern dienen.
Die Kommunikation zwischen RADIUS-Client und -Server ist dadurch abgesichert, dass sich beide
Kommunikationspartner gegenseitig durch ein "Shared Secret" authentifizieren und den Datentransfer
verschlüsseln können. RADIUS unterstützt eine Vielzahl von Authentifizierungsmöglichkeiten wie zum
Beispiel PAP, CHAP, EAP oder Unix-Login. Zudem kann RADIUS viele erweiterbare Attribute pro
Benutzer verarbeiten und übermitteln (Bild).
Mittlerweile sind verschiedene RADIUS-Server mit 802.1X/EAP-Unterstützung auf dem Markt
verfügbar. Hierbei reicht die Palette vom komplexen Kommandozeilen-Tool bis hin zu
benutzerfreundlicheren Servern mit eigener grafischer Konfigurationsoberfläche. Dies kann ein
Software-Server sein (Windows 2000, 2003, 2008 oder Linux sowie Lösungen freier Anbieter) oder auch
ein in Netzwerkhardware integrierter Server (zum Beispiel Router, Access Point oder Switch).
Extensible Authentication Protocol (EAP)
EAP wurde ursprünglich für PPP (Point to Point Protocol) entwickelt und ist in den RFCs 2284
und 2716 spezifiziert. Mithilfe von EAP können zwei Kommunikationspartner vor der eigentlichen
Authentifizierung aushandeln, welche Authentifizierungsmethode zum Einsatz kommen soll. Aufgrund
der Ausführung als Application Programming Interface (API) werden auch zukünftig entwickelte
Authentisierungsprotokolle auf EAP aufsetzen können. EAP beschreibt in einem einfachen
Request-Response-Verfahren den Austausch der Authentifizierungsdaten vom Benutzer zum
Authentisierungs-Server sowie dessen Antwort. Dabei können beliebige Authentifizierungsmechanismen
wie beispielsweise Kerberos oder Zertifikate Verwendung finden. EAP kommt entweder in Verbindung
mit PPP zum Einsatz oder als Protokoll-Framework zum Authentifizierungsdatenaustausch in anderen
Protokollen – so etwa auch im Rahmen von IEEE 802.1X. Für die Anwendung von EAP über 802.1X werden
die Authentifizierungsdaten mittels EAPoL (Extensible Authentication Protocol over LAN) oder im
Fall von Wireless LAN entsprechend mit EAPoW übertragen.
Funktionsweise von EAP
Wie funktioniert EAP? Das Protokoll fordert den Benutzer auf, sich zu authentifizieren. Diese
Authentisierungsinformationen werden zunächst an den Port beziehungsweise den "Authenticator"
weitergeleitet. Sobald der Authenticator diese Daten empfangen hat, leitet er sie an einen
AAA-Server weiter – im Normalfall einen RADIUS-Server. Anhand der hinterlegten Benutzerprofile
authentifiziert der RADIUS-Server den Benutzer, das heißt, er entscheidet, ob der Benutzer Zugriff
auf die angefragten Services erhält oder nicht. In einigen Fällen übernimmt der RADIUS-Server die
Authentifizierung nicht selbst, sondern leitet die Daten an eine weitere Authentifizierungseinheit
weiter, im Normalfall an einen Verzeichnisdienst (LDAP- beziehungsweise Directory-Server). Im Falle
einer nicht erfolgreichen Authentifizierung erhält der Authenticator eine entsprechende
Information, die dafür sorgt, dass der Port nicht aktiviert wird (das heißt, den Modus "
Authentication on/Port off" einnimmt) beziehungsweise das standardmäßige Systemverhalten beibehält
("Authentication on/Port on with default policy"). In beiden Fällen erhält der Benutzer keinen
Zugriff auf die angefragten Services. Wenn die Authentifizierung erfolgreich verläuft, wird die
Erfolgsmeldung, die der RADIUS-Server an den Switch oder Access Point zurücksendet, mit der
Funktionsbezeichnung "RADIUS/EAP Success" versehen. Der Authenticator schaltet danach sofort den
entsprechenden Port für den uneingeschränkten Datentransport frei.
EAP-TLS
EAP-TLS (Authentifizierung durch gegenseitige Zertifikate): Das EAP-TLS-Protokoll (Transport
Layer Security) ist eine Kombination von EAP und SSL (Secure Sockets Layer). Es verlangt eine
gegenseitige zertifikatbasierende Authentisierung des Servers und des Clients auf der
Transportschicht. Aktuell sind eine Reihe Clients für EAP-TLS für Linux (zum Beispiel Open1x),
MacOS X ab Version 10.3 ("Panther") sowie Microsoft Windows (ab Windows 2000 mit Patch, ab Windows
XP nativ) erhältlich.
Bei anderen Betriebssystemen lässt sich Fremdhersteller-Software installieren, um diese
Funktion nutzen zu können.
Open1x-Projekt
Das Open1x-Projekt (open1x.sourceforge.net) etwa hat es sich zum Ziel gesetzt, mit
einer eigenen 802.1X-Implementierung viele Systeme zu unterstützen. Des Weiteren ist es möglich,
Netzwerkkomponenten zu verwenden, die eine Web-basierende Authentifizierung gestatten. Als
positiver Aspekt von EAP-TLS lässt sich die Favorisierung durch Microsoft und die Integration in
Windows nennen – die notwendige gegenseitige, zertifikatbasierende Authentisierung spricht
allerdings gegen dieses Verfahren.
EAP-TTLS
EAP-TTLS (Authentifizierung durch Benutzername/Passwort und Server-Zertifikat): Das
EAP-TTLS-Protokoll (Tunneled Transport Layer Security) erweitert EAP-TLS durch eine sehr praktische
Funktion. Bevor sich der Benutzer gegenüber dem Server authentisieren muss, wird mit dem
Serverzertifikat ein sicherer TLS-Tunnel zwischen WLAN-Client und Authentisierungs-Server dynamisch
aufgebaut. In diesem sicheren Tunnel kann sich dann der Benutzer beim Authentisierungs-Server
mittels Benutzername/Passwort identifizieren. Damit entfällt die eher umständliche Notwendigkeit
eines Benutzerzertifikats. Es sind – wie bei SSL-(TLS-)Authentisierungen über das Internet üblich –
nur noch Server-seitige Zertifikate zur gegenseitigen Authentisierung des Benutzers und des Servers
zwingend erforderlich. Das EAP-TTLS-Verfahren ist damit einfacher in der Handhabung als EAP-TLS, da
Zertifikate auf der Benutzerseite nicht mehr notwendig sind.
Eckhart Traber ist Pressesprecher bei Lancom Systems.
Lesen Sie mehr zum Thema
