1 / 37

IEEE 802.1x

IEEE 802.1x. Port Based Authentication. Vorwort. 802.1x. 4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard. Gliederung. Vorwort Einleitung IEEE 802.1x – Standard Inhalt des Standards Grundlagen und Begrifflichkeiten Ablauf einer Authentifizierung Protokolle

kiri
Télécharger la présentation

IEEE 802.1x

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IEEE 802.1x Port Based Authentication

  2. Vorwort 802.1x • 4 Ziffern 1 Punkt und 1 Buchstabe • 169 Seiten umfassender Standard

  3. Gliederung • Vorwort • Einleitung • IEEE 802.1x – Standard • Inhalt des Standards • Grundlagen und Begrifflichkeiten • Ablauf einer Authentifizierung • Protokolle • Protokolle zwischen Authenticator und Supplicant - EAP • EAP Ablauf • Aufbau eines EAP-Pakets • EAP-Methoden • EAP-MD5 • EAP-TLS • EAP-TTLS und PEAP • EAP-Kapselung - EAPOL • Protokolle zwischen Authenticator und Authentication Server – RADIUS • Probleme • Ausblick • Praktische Erfahrungen • Zusammenfassung • Quellen

  4. Einleitung Abbildung 1

  5. Einleitung • Sensible Daten müssen im Firmennetz geschützt werden • Firewalls, Intrusion Detection Systeme, … • Erheblicher Aufwand um Angriffe von Außen abzuwehren

  6. Einleitung „Laut einer Studie der Meta Group erfolgen rund 70 Prozent aller Sicherheitsverstöße aus dem internen Netz heraus.“ [1]

  7. Einleitung • Sicherheit durch MAC-Filter? • Zuordnung Hardware -> Zugriffsrecht ist fragwürdig • MAC-Adresse ist mit einfachsten Mitteln änderbar • Administrativer Aufwand recht hoch

  8. MAC-Adresse ändern mit WinXP-Boardmitteln Abbildung 2

  9. IEEE 802.1x Standard • Im Juni 2001 zertifiziert und 2004 letzmalig überarbeitet • Einsetzbar in allen 802er LAN • Nutzerauthentifizierung bevor Zugang zum LAN besteht

  10. Inhalt des Standards • Wie läuft eine Authentifizierung ab? • Wie werden die Zugangskontrollmechanismen realisiert? • Beschreibt die unterschiedlichen Zustände in denen sich ein Port befinden kann und das damit verbundene Verhalten • Beschreibt die Anforderungen an ein Protokoll, das für die Kommunikation zwischen dem zu authentifizierenden System und dem authentifizierenden System (Authenticator) einzusetzen ist • Beschreibt die Anforderungen an ein Protokoll zwischen dem authentifizierenden System und einem Authentifizierungsserver • Spezifiziert Anforderungen an Geräte, die diese Art Authentifizierungsservice bieten.

  11. Grundlagen und Begrifflichkeiten • 3 Rollen bei einer Authentifizierung • Supplicant:System, welches Zugang zum Netzwerk erhalten möchte und sich authentifizieren will • Authenticator:System, das den Zugangspunkt zum Netz kontrolliert und die Authentifizierung ermöglicht • Authentication Server:stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung. Dieser Dienst entscheidet anhand der vom Supplicant zur Verfügung gestellten Identifikationsdokumente (Credentials), ob der Zugang zum Netz gewährt werden darf.

  12. Grundlagen und Begrifflichkeiten • Network Acces Port (NAP):physikalischer oder auch logischer (im Falle von WLAN) Verbindungspunkt zum LAN • Wie soll man eine Zugangskontrolle realisieren „ohne“ Zugang zum Netz? • NAP ist in interner Sicht zweigeteilt

  13. Grundlagen und Begrifflichkeiten Abbildung 3

  14. Grundlagen und Begrifflichkeiten • Port Access Entity (PAE):steuert den Zustand des CPsteuert auch die Kommunikation, die zur Authentifizierung nötig ist

  15. Ablauf einer Authentifizierung • Ausgangssituation: • Supplicant nicht authentifiziert • Controlled Port (CP) des Authenticators geschlossen • Uncontrolled Port (UCP) des Authenticators ist für Authentifzierungskommunikation geöffnet

  16. Ablauf einer Authentifizierung Abbildung 4

  17. Ablauf einer Authentifizierung • Supplicant und Authenticator übernehmen nacheinander die entsprechenden Rollen – gegenseitige (mutual) Authentifizierung – mehr SICHERHEIT (WLAN-Bereich) • Reauthentifizierung nach einer gewissen Zeitperiode (ähnlich DHCP-Lease)

  18. Protokolle • Wo? • Kommunikation zwischen Authenticator und Supplicant • Kommunikation zwischen Authenticator und Authentication Server

  19. EAP • EAP = Extensible Authentication Protocol (RFC3748) • Ebene 2 im OSI-Modell • Bietet einige Authentifizierungsverfahren • Aushandlung einer Authentifizierungsmethode • Authentifizierung nach der ausgewählten Methode

  20. EAP-Ablauf • Request-Response-Verfahren • Authenticator fordert Supplicant zur Identifizierung auf • Hiernach ist Authenticator nur noch Vermittler zwischen Supplicant und Authentication Server • Challange des Authentication Servers an Supplicant

  21. EAP-Ablauf • Antwort mit Challengelösung oder signalisieren, dass Authentifizierungsmethode vom Supplicant nicht verstanden wird und eine andere vorschlagen • Korrekte Antwort -> EAP-Erfolg -> CP öffnen

  22. Aufbau von EAP-Paketen • Header + Datenfeld

  23. EAP-Kommunikation Beispiel Abbildung 5

  24. EAP-Methoden • Sicherheit? • Vorraussetzung zur Anwendung? • Wie einfach ist eine praktische Umsetzung?

  25. EAP-MD5 • Kommunikation ist unverschlüsselt • Keinerlei spezielle Anforderungen oder Vorraussetzungen an Umfeld • Praktische Umsetzung einfach • Authentifizierung durch MD5 Challange • Sicher gegen Replay-Angriffe • Gefährdet durch Dictonary-Angriffe

  26. EAP-TLS • TLS = Transport Layer Security • Setzt eine PKI (Public-Key-Infrastructure) vorraus • Schwieriger in der praktischen Anwendung • Gegenseitige Identifizierung durch Zertifikate • Sehr sicher –> WPA-Authentifizierungsverfahren

  27. EAP-TTLS und PEAP • TTLS (Tunneled TLS) und Protected EAP benötigen keine PKI • Server identifiziert sich gegenüber des Clients • Aufbau eines sicheren Tunnels • Einfacher umszusetzen, aber trotzdem sehr sicher

  28. EAP-Kapselung - EAPOL • EAP-Pakete müssen in Layer2-Pakete gekapselt werden • Ethernet-Frames • Token-Ring-Frames • EAP Over LAN • EAP-Kommunikation ist von EAPOL-Start und EAPOL-Logoff umrahmt

  29. EAP-Kapselung - EAPOL • Normale EAP-Pakete in EAPOL-Paketen (Typ 0) verpackt • EAPOL-Pakete sind nicht integritätsgesichert • DOS-Angriff durch spammen von EAPOL-Start-Paketen möglich

  30. RADIUS • RADIUS (Remote Authentication Dial-In User Service) • User Authentifizierung nach festen Regeln • Anfrage kann auch an weiteren Server weitergeleitet werden (Bsp.: LDAP) • RADIUS-Protokoll spezifiziert in RFC 2865 incl. EAP-Extension (RFC 3579)

  31. RADIUS • Im Falle von 802.1x als Transportprotokoll für EAP-Pakete • UDP-Port 1812 • RADIUS-Pakete nur per preshared Secret verschlüsselt – UNSICHER! • EAP-Pakete per Messega-Authenticator-Attribut verschlüsselt (aber auch anfällig gegen Dictonary-Attacks)

  32. RADIUS • RADIUS-Kommunikation muss zusätzlich durch geeignete Methoden abgesichert werden • Nachfolger von RADIUS momentan in Entwicklung -> DIAMETER

  33. Probleme • 802.1x bietet flexibles Baukastensystem • Fehlkonfigurationen an einer Stelle gefährden das gesamte Sicherheitskonzept • Die Authentifizierungskette ist nur so stark wie ihr schwächstes Glied!

  34. Probleme • 802.1x inkompatible Geräte schwer zu integrieren (IP-Telefone, Drucker) • 802.1x Features entsprechender Hardware schlecht dokumentiert • Gewisse Einarbeitungszeit in die Thematik notwendig • Wake on LAN funktioniert nicht • Viele Herstellerspezifische Zusätze zum Standard

  35. Praktische Erfahrungen

  36. Quellen • [1] wlan.informatik.uni-rostock.de/literatur/downloads/ps/nww_1401.ps • www.freeradius.net • www.wireshark.org • www.uni-koblenz.de/~steigner/seminar-wlan/4-feldmann.pdf • security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf • www.informatik.uni-hamburg.de/SVS/teaching/ss2005/seminar/Seminar_Radius.pdf • www-wlan.uni-regensburg.de/8021x.html • www.networksorcery.com/enp/default0901.htm (RFCs) • www.ietf.org/rfc.html • de.wikipedia.org • standards.ieee.org/getieee802/802.1.html (IEEE802.1x Standard) • www.iks.hs-merseburg.de/~uheuert/pdf/Anwendung%20Rechnernetze/Vortraege/WS2005_06/Marco%20Francke%20-%20IEEE802.1x%20Authentifizierung/IEEE802.1x%20(Marco%20Francke).pdf • Abbildungen: • Screenshot WinXP Home Edition • Screenshot WinXp Home Edition • standards.ieee.org/getieee802/802.1.html • standards.ieee.org/getieee802/802.1.html • Sequenzdiagramm, erstellt mit Poseidon UML CE

More Related