Suchen

Netzwerk-Grundlagen – Authentisierung, Teil 1 Das Authentication Framework des Standards IEEE 802.1x

Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Viele Switches und die meisten Betriebssysteme für PC und Workstations ermöglichen die Authentisierung mittels IEEE 802.1x. Dieser Standard bildet nicht nur die Grundlage zur WLAN-Absicherung, er unterstützt auch Ethernet- und Token-Ring Netzwerke. Dieser Beitrag erläutert die Möglichkeiten von IEE 802.1x.

Firma zum Thema

Der Authentication Standard IEEE 802.1x wird mittlerweile von vielen Endgeräten unterstützt.
Der Authentication Standard IEEE 802.1x wird mittlerweile von vielen Endgeräten unterstützt.
( Archiv: Vogel Business Media )

Die Access Control definiert sich in der Zugangskontrolle für Endgeräte zum Netzwerk. Ein von einem Anwender bedientes Endgerät bietet die Möglichkeit, unabhängig von seinem Betriebssystem den User interaktiv zu authentifizieren.

IEEE 802.1x liefert hierfür ein komplettes Authentication Framework, das Port-basierende Zugriffskontrolle ermöglicht. Dieses Modell sieht dabei verschiedene Abstrahierungen vor:

  • Supplicant ist das Endgerät, welches einen Netzwerkzugang anfordert.
  • Authenticator ist das Gerät, welches den Supplicant authentifiziert und den Netzwerkzugang versperrt oder frei gibt.
  • Authentication Server ist das Gerät, welches den Backend-Authentication-Dienst (z.B. RADIUS) bereitstellt.

Dabei nutzt 802.1x bestehende Protokolle wie EAP und RADIUS, die zwar empfohlen aber nicht vorgeschrieben sind. Unterstützt wird 802.1x für Ethernet, Token Ring und IEEE 802.11.

Eine Fülle von Authentifizierungsmechanismen wie Zertifikate, Smart Cards, One-Time Passwörter oder biometrische Verfahren sind ebenfalls vorgesehen. Diese Flexibilität wird durch die Nutzung des Extensible Authentication Protocol (EAP) erreicht.

Primär getrieben durch die Anforderung Wireless LANs mit einem sicheren Zugangs- und Verschlüsselungsmechanismus (802.11i und WiFiWPA) zu versehen, hat sich 802.1x im WLAN durchgesetzt findet aber zusehends auch Beachtung innerhalb herkömmlicher Ethernet-Netzwerke.

Weiterhin erlaubt die Nutzung von EAP in der von Microsoft favorisierten Variante für RAS VPN (Remote Access Virtual Private Networks) innerhalb von IPSec/L2TP (IPSecurity, Layer 2Tunneling Protocol) eine einheitliche Authentifizierung eines Nutzers über LAN, WLAN und WAN Infrastrukturen.

In der Praxis ist es also möglich, das Modell der Network Access Control unter Nutzung bestehender Authentisierungsinstanzen flächendeckend und benutzerfreundlich zur Verfügung zu stellen.

Seite 2: Authentisierung mittels EAP und RADIUS

(ID:2046336)