IEEE 802.1x

Port Based Authentication

Vorwort

4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard

802.1x

Gliederung1) Vorwort2) Einleitung3) IEEE 802.1x – Standard

1) Inhalt des Standards2) Grundlagen und Begrifflichkeiten3) Ablauf einer Authentifizierung

4) Protokolle1) Protokolle zwischen Authenticator und Supplicant - EAP

1) EAP Ablauf2) Aufbau eines EAP-Pakets3) EAP-Methoden

1) EAP-MD52) EAP-TLS3) EAP-TTLS und PEAP

4) EAP-Kapselung - EAPOL2) Protokolle zwischen Authenticator und Authentication Server – RADIUS

5) Probleme6) Ausblick7) Praktische Erfahrungen8) Zusammenfassung9) Quellen

Einleitung

Abbildung 1

Einleitung

Sensible Daten müssen im Firmennetz geschützt werden

Firewalls, Intrusion Detection Systeme, …

Erheblicher Aufwand um Angriffe von Außen abzuwehren

Einleitung

„Laut einer Studie der Meta Group erfolgen rund 70 Prozent aller Sicherheitsverstöße aus dem internen Netz heraus.“ [1]

Einleitung

Sicherheit durch MAC-Filter?• Zuordnung Hardware -> Zugriffsrecht ist

fragwürdig

• MAC-Adresse ist mit einfachsten Mitteln änderbar

• Administrativer Aufwand recht hoch

MAC-Adresse ändern mit WinXP-Boardmitteln

Abbildung 2

IEEE 802.1x Standard

Im Juni 2001 zertifiziert und 2004 letzmalig überarbeitet

Einsetzbar in allen 802er LAN Nutzerauthentifizierung bevor Zugang

zum LAN besteht

Inhalt des Standards Wie läuft eine Authentifizierung ab? Wie werden die Zugangskontrollmechanismen realisiert? Beschreibt die unterschiedlichen Zustände in denen sich ein

Port befinden kann und das damit verbundene Verhalten Beschreibt die Anforderungen an ein Protokoll, das für die

Kommunikation zwischen dem zu authentifizierenden System und dem authentifizierenden System (Authenticator) einzusetzen ist

Beschreibt die Anforderungen an ein Protokoll zwischen dem authentifizierenden System und einem Authentifizierungsserver

Spezifiziert Anforderungen an Geräte, die diese Art Authentifizierungsservice bieten.

Grundlagen und Begrifflichkeiten 3 Rollen bei einer Authentifizierung Supplicant:

System, welches Zugang zum Netzwerk erhalten möchte und sich authentifizieren will

Authenticator:System, das den Zugangspunkt zum Netz kontrolliert und die Authentifizierung ermöglicht

Authentication Server:stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung. Dieser Dienst entscheidet anhand der vom Supplicant zur Verfügung gestellten Identifikationsdokumente (Credentials), ob der Zugang zum Netz gewährt werden darf.

Grundlagen und Begrifflichkeiten

Network Acces Port (NAP):physikalischer oder auch logischer (im Falle von WLAN) Verbindungspunkt zum LAN

Wie soll man eine Zugangskontrolle realisieren „ohne“ Zugang zum Netz?

NAP ist in interner Sicht zweigeteilt

Grundlagen und Begrifflichkeiten

Abbildung 3

Grundlagen und Begrifflichkeiten

Port Access Entity (PAE):steuert den Zustand des CPsteuert auch die Kommunikation, die zur Authentifizierung nötig ist

Ablauf einer Authentifizierung

Ausgangssituation:• Supplicant nicht authentifiziert

• Controlled Port (CP) des Authenticators geschlossen

• Uncontrolled Port (UCP) des Authenticators ist für Authentifzierungskommunikation geöffnet

Ablauf einer Authentifizierung

Abbildung 4

Ablauf einer Authentifizierung

Supplicant und Authenticator übernehmen nacheinander die entsprechenden Rollen – gegenseitige (mutual) Authentifizierung – mehr SICHERHEIT (WLAN-Bereich)

Reauthentifizierung nach einer gewissen Zeitperiode (ähnlich DHCP-Lease)

Protokolle

Wo?

• Kommunikation zwischen Authenticator und Supplicant

• Kommunikation zwischen Authenticator und Authentication Server

EAP

EAP = Extensible Authentication Protocol (RFC3748)

Ebene 2 im OSI-Modell Bietet einige Authentifizierungsverfahren

• Aushandlung einer Authentifizierungsmethode

• Authentifizierung nach der ausgewählten Methode

EAP-Ablauf

Request-Response-Verfahren Authenticator fordert Supplicant zur

Identifizierung auf Hiernach ist Authenticator nur noch

Vermittler zwischen Supplicant und Authentication Server

Challange des Authentication Servers an Supplicant

EAP-Ablauf

Antwort mit Challengelösung oder signalisieren, dass Authentifizierungsmethode vom Supplicant nicht verstanden wird und eine andere vorschlagen

Korrekte Antwort -> EAP-Erfolg -> CP öffnen

Aufbau von EAP-Paketen

Header + Datenfeld

EAP-Kommunikation Beispiel

Abbildung 5

EAP-Methoden

Sicherheit?Vorraussetzung zur

Anwendung?Wie einfach ist eine praktische

Umsetzung?

EAP-MD5

Kommunikation ist unverschlüsselt Keinerlei spezielle Anforderungen oder

Vorraussetzungen an Umfeld Praktische Umsetzung einfach Authentifizierung durch MD5 Challange Sicher gegen Replay-Angriffe Gefährdet durch Dictonary-Angriffe

EAP-TLS

TLS = Transport Layer Security Setzt eine PKI (Public-Key-Infrastructure)

vorraus Schwieriger in der praktischen Anwendung Gegenseitige Identifizierung durch Zertifikate Sehr sicher –> WPA-

Authentifizierungsverfahren

EAP-TTLS und PEAP

TTLS (Tunneled TLS) und Protected EAP benötigen keine PKI

Server identifiziert sich gegenüber des Clients

Aufbau eines sicheren Tunnels Einfacher umszusetzen, aber trotzdem

sehr sicher

EAP-Kapselung - EAPOL

EAP-Pakete müssen in Layer2-Pakete gekapselt werden• Ethernet-Frames

• Token-Ring-Frames

EAP Over LAN EAP-Kommunikation ist von EAPOL-

Start und EAPOL-Logoff umrahmt

EAP-Kapselung - EAPOL

Normale EAP-Pakete in EAPOL-Paketen (Typ 0) verpackt

EAPOL-Pakete sind nicht integritätsgesichert

DOS-Angriff durch spammen von EAPOL-Start-Paketen möglich

RADIUS

RADIUS (Remote Authentication Dial-In User Service)

User Authentifizierung nach festen Regeln

Anfrage kann auch an weiteren Server weitergeleitet werden (Bsp.: LDAP)

RADIUS-Protokoll spezifiziert in RFC 2865 incl. EAP-Extension (RFC 3579)

RADIUS

Im Falle von 802.1x als Transportprotokoll für EAP-Pakete

UDP-Port 1812 RADIUS-Pakete nur per preshared

Secret verschlüsselt – UNSICHER! EAP-Pakete per Messega-Authenticator-

Attribut verschlüsselt (aber auch anfällig gegen Dictonary-Attacks)

RADIUS

RADIUS-Kommunikation muss zusätzlich durch geeignete Methoden abgesichert werden

Nachfolger von RADIUS momentan in Entwicklung -> DIAMETER

Probleme

802.1x bietet flexibles Baukastensystem Fehlkonfigurationen an einer Stelle

gefährden das gesamte Sicherheitskonzept

Die Authentifizierungskette ist nur so stark wie ihr schwächstes Glied!

Probleme

802.1x inkompatible Geräte schwer zu integrieren (IP-Telefone, Drucker)

802.1x Features entsprechender Hardware schlecht dokumentiert

Gewisse Einarbeitungszeit in die Thematik notwendig

Wake on LAN funktioniert nicht Viele Herstellerspezifische Zusätze zum

Standard

Praktische Erfahrungen

Quellen [1] wlan.informatik.uni-rostock.de/literatur/downloads/ps/nww_1401.ps www.freeradius.net www.wireshark.org www.uni-koblenz.de/~steigner/seminar-wlan/4-feldmann.pdf security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf www.informatik.uni-hamburg.de/SVS/teaching/ss2005/seminar/Seminar_Radius.pdf www-wlan.uni-regensburg.de/8021x.html www.networksorcery.com/enp/default0901.htm (RFCs) www.ietf.org/rfc.html de.wikipedia.org standards.ieee.org/getieee802/802.1.html (IEEE802.1x Standard) www.iks.hs-merseburg.de/~uheuert/pdf/Anwendung%20Rechnernetze/Vortraege/WS2005_06/

Marco%20Francke%20-%20IEEE802.1x%20Authentifizierung/IEEE802.1x%20(Marco%20Francke).pdf

Abbildungen:1. Screenshot WinXP Home Edition2. Screenshot WinXp Home Edition3. standards.ieee.org/getieee802/802.1.html4. standards.ieee.org/getieee802/802.1.html5. Sequenzdiagramm, erstellt mit Poseidon UML CE