IEEE 802.1x - PowerPoint PPT Presentation

1 / 37
About This Presentation
Title:

IEEE 802.1x

Description:

IEEE 802.1x Port Based Authentication Vorwort 4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard Gliederung Vorwort Einleitung IEEE 802.1x Standard ... – PowerPoint PPT presentation

Number of Views:111
Avg rating:3.0/5.0
Slides: 38
Provided by: Sebas79
Category:
Tags: ieee | ring | token

less

Transcript and Presenter's Notes

Title: IEEE 802.1x


1
IEEE 802.1x
  • Port Based Authentication

2
Vorwort
802.1x
  • 4 Ziffern 1 Punkt und 1 Buchstabe
  • 169 Seiten umfassender Standard

3
Gliederung
  • Vorwort
  • Einleitung
  • IEEE 802.1x Standard
  • Inhalt des Standards
  • Grundlagen und Begrifflichkeiten
  • Ablauf einer Authentifizierung
  • Protokolle
  • Protokolle zwischen Authenticator und Supplicant
    - EAP
  • EAP Ablauf
  • Aufbau eines EAP-Pakets
  • EAP-Methoden
  • EAP-MD5
  • EAP-TLS
  • EAP-TTLS und PEAP
  • EAP-Kapselung - EAPOL
  • Protokolle zwischen Authenticator und
    Authentication Server RADIUS
  • Probleme
  • Ausblick
  • Praktische Erfahrungen

4
Einleitung
Abbildung 1
5
Einleitung
  • Sensible Daten müssen im Firmennetz geschützt
    werden
  • Firewalls, Intrusion Detection Systeme,
  • Erheblicher Aufwand um Angriffe von Außen
    abzuwehren

6
Einleitung
  • Laut einer Studie der Meta Group erfolgen rund
    70 Prozent aller Sicherheitsverstöße aus dem
    internen Netz heraus. 1

7
Einleitung
  • Sicherheit durch MAC-Filter?
  • Zuordnung Hardware -gt Zugriffsrecht ist
    fragwürdig
  • MAC-Adresse ist mit einfachsten Mitteln änderbar
  • Administrativer Aufwand recht hoch

8
MAC-Adresse ändern mit WinXP-Boardmitteln
Abbildung 2
9
IEEE 802.1x Standard
  • Im Juni 2001 zertifiziert und 2004 letzmalig
    überarbeitet
  • Einsetzbar in allen 802er LAN
  • Nutzerauthentifizierung bevor Zugang zum LAN
    besteht

10
Inhalt des Standards
  • Wie läuft eine Authentifizierung ab?
  • Wie werden die Zugangskontrollmechanismen
    realisiert?
  • Beschreibt die unterschiedlichen Zustände in
    denen sich ein Port befinden kann und das damit
    verbundene Verhalten
  • Beschreibt die Anforderungen an ein Protokoll,
    das für die Kommunikation zwischen dem zu
    authentifizierenden System und dem
    authentifizierenden System (Authenticator)
    einzusetzen ist
  • Beschreibt die Anforderungen an ein Protokoll
    zwischen dem authentifizierenden System und einem
    Authentifizierungsserver
  • Spezifiziert Anforderungen an Geräte, die diese
    Art Authentifizierungsservice bieten.

11
Grundlagen und Begrifflichkeiten
  • 3 Rollen bei einer Authentifizierung
  • SupplicantSystem, welches Zugang zum Netzwerk
    erhalten möchte und sich authentifizieren will
  • AuthenticatorSystem, das den Zugangspunkt zum
    Netz kontrolliert und die Authentifizierung
    ermöglicht
  • Authentication Serverstellt dem Authenticator
    einen Authentifizierungsdienst zur Verfügung.
    Dieser Dienst entscheidet anhand der vom
    Supplicant zur Verfügung gestellten
    Identifikationsdokumente (Credentials), ob der
    Zugang zum Netz gewährt werden darf.

12
Grundlagen und Begrifflichkeiten
  • Network Acces Port (NAP)physikalischer oder
    auch logischer (im Falle von WLAN)
    Verbindungspunkt zum LAN
  • Wie soll man eine Zugangskontrolle realisieren
    ohne Zugang zum Netz?
  • NAP ist in interner Sicht zweigeteilt

13
Grundlagen und Begrifflichkeiten
Abbildung 3
14
Grundlagen und Begrifflichkeiten
  • Port Access Entity (PAE)steuert den Zustand des
    CPsteuert auch die Kommunikation, die zur
    Authentifizierung nötig ist

15
Ablauf einer Authentifizierung
  • Ausgangssituation
  • Supplicant nicht authentifiziert
  • Controlled Port (CP) des Authenticators
    geschlossen
  • Uncontrolled Port (UCP) des Authenticators ist
    für Authentifzierungskommunikation geöffnet

16
Ablauf einer Authentifizierung
Abbildung 4
17
Ablauf einer Authentifizierung
  • Supplicant und Authenticator übernehmen
    nacheinander die entsprechenden Rollen
    gegenseitige (mutual) Authentifizierung mehr
    SICHERHEIT (WLAN-Bereich)
  • Reauthentifizierung nach einer gewissen
    Zeitperiode (ähnlich DHCP-Lease)

18
Protokolle
  • Wo?
  • Kommunikation zwischen Authenticator und
    Supplicant
  • Kommunikation zwischen Authenticator und
    Authentication Server

19
EAP
  • EAP Extensible Authentication Protocol
    (RFC3748)
  • Ebene 2 im OSI-Modell
  • Bietet einige Authentifizierungsverfahren
  • Aushandlung einer Authentifizierungsmethode
  • Authentifizierung nach der ausgewählten Methode

20
EAP-Ablauf
  • Request-Response-Verfahren
  • Authenticator fordert Supplicant zur
    Identifizierung auf
  • Hiernach ist Authenticator nur noch Vermittler
    zwischen Supplicant und Authentication Server
  • Challange des Authentication Servers an Supplicant

21
EAP-Ablauf
  • Antwort mit Challengelösung oder signalisieren,
    dass Authentifizierungsmethode vom Supplicant
    nicht verstanden wird und eine andere vorschlagen
  • Korrekte Antwort -gt EAP-Erfolg -gt CP öffnen

22
Aufbau von EAP-Paketen
  • Header Datenfeld

23
EAP-Kommunikation Beispiel
Abbildung 5
24
EAP-Methoden
  • Sicherheit?
  • Vorraussetzung zur Anwendung?
  • Wie einfach ist eine praktische Umsetzung?

25
EAP-MD5
  • Kommunikation ist unverschlüsselt
  • Keinerlei spezielle Anforderungen oder
    Vorraussetzungen an Umfeld
  • Praktische Umsetzung einfach
  • Authentifizierung durch MD5 Challange
  • Sicher gegen Replay-Angriffe
  • Gefährdet durch Dictonary-Angriffe

26
EAP-TLS
  • TLS Transport Layer Security
  • Setzt eine PKI (Public-Key-Infrastructure)
    vorraus
  • Schwieriger in der praktischen Anwendung
  • Gegenseitige Identifizierung durch Zertifikate
  • Sehr sicher gt WPA-Authentifizierungsverfahren

27
EAP-TTLS und PEAP
  • TTLS (Tunneled TLS) und Protected EAP benötigen
    keine PKI
  • Server identifiziert sich gegenüber des Clients
  • Aufbau eines sicheren Tunnels
  • Einfacher umszusetzen, aber trotzdem sehr sicher

28
EAP-Kapselung - EAPOL
  • EAP-Pakete müssen in Layer2-Pakete gekapselt
    werden
  • Ethernet-Frames
  • Token-Ring-Frames
  • EAP Over LAN
  • EAP-Kommunikation ist von EAPOL-Start und
    EAPOL-Logoff umrahmt

29
EAP-Kapselung - EAPOL
  • Normale EAP-Pakete in EAPOL-Paketen (Typ 0)
    verpackt
  • EAPOL-Pakete sind nicht integritätsgesichert
  • DOS-Angriff durch spammen von EAPOL-Start-Paketen
    möglich

30
RADIUS
  • RADIUS (Remote Authentication Dial-In User
    Service)
  • User Authentifizierung nach festen Regeln
  • Anfrage kann auch an weiteren Server
    weitergeleitet werden (Bsp. LDAP)
  • RADIUS-Protokoll spezifiziert in RFC 2865 incl.
    EAP-Extension (RFC 3579)

31
RADIUS
  • Im Falle von 802.1x als Transportprotokoll für
    EAP-Pakete
  • UDP-Port 1812
  • RADIUS-Pakete nur per preshared Secret
    verschlüsselt UNSICHER!
  • EAP-Pakete per Messega-Authenticator-Attribut
    verschlüsselt (aber auch anfällig gegen
    Dictonary-Attacks)

32
RADIUS
  • RADIUS-Kommunikation muss zusätzlich durch
    geeignete Methoden abgesichert werden
  • Nachfolger von RADIUS momentan in Entwicklung -gt
    DIAMETER

33
Probleme
  • 802.1x bietet flexibles Baukastensystem
  • Fehlkonfigurationen an einer Stelle gefährden das
    gesamte Sicherheitskonzept
  • Die Authentifizierungskette ist nur so stark wie
    ihr schwächstes Glied!

34
Probleme
  • 802.1x inkompatible Geräte schwer zu integrieren
    (IP-Telefone, Drucker)
  • 802.1x Features entsprechender Hardware schlecht
    dokumentiert
  • Gewisse Einarbeitungszeit in die Thematik
    notwendig
  • Wake on LAN funktioniert nicht
  • Viele Herstellerspezifische Zusätze zum Standard

35
Praktische Erfahrungen
36
(No Transcript)
37
Quellen
  • 1 wlan.informatik.uni-rostock.de/literatur/downl
    oads/ps/nww_1401.ps
  • www.freeradius.net
  • www.wireshark.org
  • www.uni-koblenz.de/steigner/seminar-wlan/4-feldma
    nn.pdf
  • security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf
  • www.informatik.uni-hamburg.de/SVS/teaching/ss2005/
    seminar/Seminar_Radius.pdf
  • www-wlan.uni-regensburg.de/8021x.html
  • www.networksorcery.com/enp/default0901.htm (RFCs)
  • www.ietf.org/rfc.html
  • de.wikipedia.org
  • standards.ieee.org/getieee802/802.1.html
    (IEEE802.1x Standard)
  • www.iks.hs-merseburg.de/uheuert/pdf/Anwendung20R
    echnernetze/Vortraege/WS2005_06/Marco20Francke20
    -20IEEE802.1x20Authentifizierung/IEEE802.1x20(M
    arco20Francke).pdf
  • Abbildungen
  • Screenshot WinXP Home Edition
  • Screenshot WinXp Home Edition
  • standards.ieee.org/getieee802/802.1.html
  • standards.ieee.org/getieee802/802.1.html
  • Sequenzdiagramm, erstellt mit Poseidon UML CE
Write a Comment
User Comments (0)
About PowerShow.com