Netzwerk-Grundlagen – Authentisierung, Teil 1

Das Authentication Framework des Standards IEEE 802.1x

29.07.2010 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Der Authentication Standard IEEE 802.1x wird mittlerweile von vielen Endgeräten unterstützt.
Der Authentication Standard IEEE 802.1x wird mittlerweile von vielen Endgeräten unterstützt.

Authentisierung mittels EAP und RADIUS

Die eigentliche Authentisierung via IEEE 802.1x erfolgt durch die Weiterleitung der EAP-Pakete mittels EAP-RADIUS (RFC 2869) an einen RADIUS-Server. Dieser kann wiederum je nach Hersteller Schnittstellen zu Verzeichnisdiensten wie Active Directory ADS von Microsoft oder Novell´s NDS über LDAP bzw. XML sowie Plug-ins für Secure ID Card Integration haben (Bild 1 der Bildergalerie).

Verschiedene EAP-Protokolle im Überblick.
Verschiedene EAP-Protokolle im Überblick.

Je nach Anforderung und Anwendung kann eine Vielzahl von EAP-Protokollen zur Anwendung kommen. Diese Tabelle soll eine kurze Übersicht bieten.

Funktionsweise von MD5: Da die unverschlüsselte Übertragung von Authentisierungsdaten sehr unsicher ist, wird die ursprüngliche Methode MD5 heute nur noch in Ausnahmefällen genutzt.

Funktionsweise von EAP-TLS: EAP-TLS wurde in RFC 2716 spezifiziert und bietet eine starke kryptographische Authentisierung des Clients gegenüber dem Netzwerk. Das geschieht, indem sich beide Seiten, also der Client und der Anmeldeserver, kryptographische Zertifikate vorzeigen, um ihre Identität zu beglaubigen.

Diese Methode erfordert die Bereitstellung einer PKI (Public Key Infrastructure), welche mit dem Directory in Verbindung steht. Die entsprechenden Zertifikate müssen auf dem Client verfügbar gemacht werden. Gespeichert auf einer so genannten Smart Card stellen sie gemeinsam mit einer mehrstelligen PIN-Nummer die optimale Sicherheitslösung dar.

Funktionsweise von EAP-TTLS: EAP-TTLS wurde unter anderem von den Firmen Funk Software und Certicom aus TLS entwickelt. Die getunnelte Funktionsweise ist mit einem SSL-verschlüsselten Webserver vergleichbar. Im Gegensatz zu EAP-TLS braucht nur der Anmeldeserver ein eindeutiges, digitales Zertifikat, welches der Client beim Verbindungsaufbau überprüft.

Funktionsweise von PEAP: Hierbei handelt es sich um die gebräuchlichere Microsoft-Variante, die im Grunde die schon vorhandenen Merkmale von EAP-TTLS aufweist. Auch hier benötigt der Authentisierungsserver ein Zertifikat, auch hier wird zuerst die Verschlüsselung aufgebaut, bevor eine Identifizierung mit Username / Passwort stattfindet.

Ein ganzheitlicher Lösungsansatz zur Authentisierung erfordert die lückenlose Erkennung der Endgeräte im Netz. Da Endgeräte ganz unterschiedlicher Natur sind müssen zusätzlich zu IEEE 802.1x auch alternative Authentisierungsmethoden auch zur Verfügung stehen. In den folgenden beiden Artikeln dieser Reihe werden wir diesen Ansatz detaillierter beleuchten.

Über den Autor

Markus Nispel ist als Vice President Solutions Architecture zuständig für die strategische Produkt- und Lösungsentwicklung bei Enterasys. Sein Fokus liegt auf dem Ausbau der Sicherheits- und dort insbesondere der Network-Access-Control-Lösung (NAC) von Enterasys; hier zeichnet er als Architekt verantwortlich. Diese Position knüpft an seine vorherige Tätigkeit bei Enterasys als Director Technology Marketing an. Bereits hier war er intensiv in die weltweite Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Darüber hinaus berät er Key Accounts in Zentraleuropa, Asien und dem mittleren Osten bei strategischen Netzwerkentscheidungen und verantwortet die technischen Integrationsprojekte zwischen Enterasys und der Siemens Enterprise Communications Group.

In Zentraleuropa und Asien verantwortet er zudem das Security Business Development und steht mit einem Team an Security Spezialisten für die Implementierung von Security Projekten mit höchsten Anforderungen bereit.

Vor seiner Tätigkeit für Enterasys Networks war Markus Nispel als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer 3 Switches für den europäischen Kundenstamm ein.

Markus Nispel studierte an der Fachhochschule der Deutschen Telekom in Dieburg und schloss sein Studium 1996 als Dipl.-Ing. Nachrichtentechnik erfolgreich ab. Erste Berufserfahrung sammelte er unter anderem bei der E-Plus Mobilfunk GmbH innerhalb der Netzwerkoptimierungsgruppe für DCS Mobile Networks.

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2046336 / Allgemein)