IEEE 802.1x

Port Based Authentication

Vorwort

4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard

802.1x

Gliederung1) Vorwort2) Einleitung3) IEEE 802.1x – Standard

1) Inhalt des Standards2) Grundlagen und Begrifflichkeiten3) Ablauf einer Authentifizierung

4) Protokolle1) Protokolle zwischen Authenticator und Supplicant - EAP

1) EAP Ablauf2) Aufbau eines EAP-Pakets3) EAP-Methoden

1) EAP-MD52) EAP-TLS3) EAP-TTLS und PEAP

4) EAP-Kapselung - EAPOL2) Protokolle zwischen Authenticator und Authentication Server – RADIUS

5) Probleme6) Ausblick7) Praktische Erfahrungen8) Zusammenfassung9) Quellen

Einleitung

Abbildung 1

Einleitung Sensible Daten müssen im Firmennetz

geschützt werden Firewalls, Intrusion Detection Systeme,

… Erheblicher Aufwand um Angriffe von

Außen abzuwehren

Einleitung„Laut einer Studie der Meta Group erfolgen rund 70 Prozent aller Sicherheitsverstöße aus dem internen Netz heraus.“ [1]

Einleitung Sicherheit durch MAC-Filter?

• Zuordnung Hardware -> Zugriffsrecht ist fragwürdig

• MAC-Adresse ist mit einfachsten Mitteln änderbar

• Administrativer Aufwand recht hoch

MAC-Adresse ändern mit WinXP-Boardmitteln

Abbildung 2

IEEE 802.1x Standard Im Juni 2001 zertifiziert und 2004

letzmalig überarbeitet Einsetzbar in allen 802er LAN Nutzerauthentifizierung bevor Zugang

zum LAN besteht

Inhalt des Standards Wie läuft eine Authentifizierung ab? Wie werden die Zugangskontrollmechanismen realisiert? Beschreibt die unterschiedlichen Zustände in denen sich ein

Port befinden kann und das damit verbundene Verhalten Beschreibt die Anforderungen an ein Protokoll, das für die

Kommunikation zwischen dem zu authentifizierenden System und dem authentifizierenden System (Authenticator) einzusetzen ist

Beschreibt die Anforderungen an ein Protokoll zwischen dem authentifizierenden System und einem Authentifizierungsserver

Spezifiziert Anforderungen an Geräte, die diese Art Authentifizierungsservice bieten.

Grundlagen und Begrifflichkeiten 3 Rollen bei einer Authentifizierung Supplicant:

System, welches Zugang zum Netzwerk erhalten möchte und sich authentifizieren will

Authenticator:System, das den Zugangspunkt zum Netz kontrolliert und die Authentifizierung ermöglicht

Authentication Server:stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung. Dieser Dienst entscheidet anhand der vom Supplicant zur Verfügung gestellten Identifikationsdokumente (Credentials), ob der Zugang zum Netz gewährt werden darf.

Grundlagen und Begrifflichkeiten Network Acces Port (NAP):

physikalischer oder auch logischer (im Falle von WLAN) Verbindungspunkt zum LAN

Wie soll man eine Zugangskontrolle realisieren „ohne“ Zugang zum Netz?

NAP ist in interner Sicht zweigeteilt

Grundlagen und Begrifflichkeiten

Abbildung 3

Grundlagen und Begrifflichkeiten Port Access Entity (PAE):

steuert den Zustand des CPsteuert auch die Kommunikation, die zur Authentifizierung nötig ist

Ablauf einer Authentifizierung Ausgangssituation:

• Supplicant nicht authentifiziert• Controlled Port (CP) des Authenticators

geschlossen• Uncontrolled Port (UCP) des Authenticators

ist für Authentifzierungskommunikation geöffnet

Ablauf einer Authentifizierung

Abbildung 4

Ablauf einer Authentifizierung Supplicant und Authenticator

übernehmen nacheinander die entsprechenden Rollen – gegenseitige (mutual) Authentifizierung – mehr SICHERHEIT (WLAN-Bereich)

Reauthentifizierung nach einer gewissen Zeitperiode (ähnlich DHCP-Lease)

Protokolle Wo?

• Kommunikation zwischen Authenticator und Supplicant

• Kommunikation zwischen Authenticator und Authentication Server

EAP EAP = Extensible Authentication

Protocol (RFC3748) Ebene 2 im OSI-Modell Bietet einige Authentifizierungsverfahren

• Aushandlung einer Authentifizierungsmethode

• Authentifizierung nach der ausgewählten Methode

EAP-Ablauf Request-Response-Verfahren Authenticator fordert Supplicant zur

Identifizierung auf Hiernach ist Authenticator nur noch

Vermittler zwischen Supplicant und Authentication Server

Challange des Authentication Servers an Supplicant

EAP-Ablauf Antwort mit Challengelösung oder

signalisieren, dass Authentifizierungsmethode vom Supplicant nicht verstanden wird und eine andere vorschlagen

Korrekte Antwort -> EAP-Erfolg -> CP öffnen

Aufbau von EAP-Paketen Header + Datenfeld

EAP-Kommunikation Beispiel

Abbildung 5

EAP-MethodenSicherheit?Vorraussetzung zur

Anwendung?Wie einfach ist eine praktische

Umsetzung?

EAP-MD5 Kommunikation ist unverschlüsselt Keinerlei spezielle Anforderungen oder

Vorraussetzungen an Umfeld Praktische Umsetzung einfach Authentifizierung durch MD5 Challange Sicher gegen Replay-Angriffe Gefährdet durch Dictonary-Angriffe

EAP-TLS TLS = Transport Layer Security Setzt eine PKI (Public-Key-Infrastructure)

vorraus Schwieriger in der praktischen Anwendung Gegenseitige Identifizierung durch Zertifikate Sehr sicher –> WPA-

Authentifizierungsverfahren

EAP-TTLS und PEAP TTLS (Tunneled TLS) und Protected

EAP benötigen keine PKI Server identifiziert sich gegenüber des

Clients Aufbau eines sicheren Tunnels Einfacher umszusetzen, aber trotzdem

sehr sicher

EAP-Kapselung - EAPOL EAP-Pakete müssen in Layer2-Pakete

gekapselt werden• Ethernet-Frames• Token-Ring-Frames

EAP Over LAN EAP-Kommunikation ist von EAPOL-

Start und EAPOL-Logoff umrahmt

EAP-Kapselung - EAPOL Normale EAP-Pakete in EAPOL-Paketen

(Typ 0) verpackt EAPOL-Pakete sind nicht

integritätsgesichert DOS-Angriff durch spammen von

EAPOL-Start-Paketen möglich

RADIUS RADIUS (Remote Authentication Dial-In

User Service) User Authentifizierung nach festen

Regeln Anfrage kann auch an weiteren Server

weitergeleitet werden (Bsp.: LDAP) RADIUS-Protokoll spezifiziert in RFC

2865 incl. EAP-Extension (RFC 3579)

RADIUS Im Falle von 802.1x als

Transportprotokoll für EAP-Pakete UDP-Port 1812 RADIUS-Pakete nur per preshared

Secret verschlüsselt – UNSICHER! EAP-Pakete per Messega-Authenticator-

Attribut verschlüsselt (aber auch anfällig gegen Dictonary-Attacks)

RADIUSRADIUS-Kommunikation muss

zusätzlich durch geeignete Methoden abgesichert werden

Nachfolger von RADIUS momentan in Entwicklung -> DIAMETER

Probleme 802.1x bietet flexibles Baukastensystem Fehlkonfigurationen an einer Stelle

gefährden das gesamte Sicherheitskonzept

Die Authentifizierungskette ist nur so stark wie ihr schwächstes Glied!

Probleme 802.1x inkompatible Geräte schwer zu

integrieren (IP-Telefone, Drucker) 802.1x Features entsprechender Hardware

schlecht dokumentiert Gewisse Einarbeitungszeit in die Thematik

notwendig Wake on LAN funktioniert nicht Viele Herstellerspezifische Zusätze zum

Standard

Praktische Erfahrungen

Quellen [1] wlan.informatik.uni-rostock.de/literatur/downloads/ps/nww_1401.ps www.freeradius.net www.wireshark.org www.uni-koblenz.de/~steigner/seminar-wlan/4-feldmann.pdf security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf www.informatik.uni-hamburg.de/SVS/teaching/ss2005/seminar/Seminar_Radius.pdf www-wlan.uni-regensburg.de/8021x.html www.networksorcery.com/enp/default0901.htm (RFCs) www.ietf.org/rfc.html de.wikipedia.org standards.ieee.org/getieee802/802.1.html (IEEE802.1x Standard) www.iks.hs-merseburg.de/~uheuert/pdf/Anwendung%20Rechnernetze/Vortraege/WS2005_06/

Marco%20Francke%20-%20IEEE802.1x%20Authentifizierung/IEEE802.1x%20(Marco%20Francke).pdf

Abbildungen:1. Screenshot WinXP Home Edition2. Screenshot WinXp Home Edition3. standards.ieee.org/getieee802/802.1.html4. standards.ieee.org/getieee802/802.1.html5. Sequenzdiagramm, erstellt mit Poseidon UML CE