450 likes | 863 Vues
IEEE 802.1x. Port Based Authentication. Vorwort. 802.1x. 4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard. Gliederung. Vorwort Einleitung IEEE 802.1x – Standard Inhalt des Standards Grundlagen und Begrifflichkeiten Ablauf einer Authentifizierung Protokolle
E N D
IEEE 802.1x Port Based Authentication
Vorwort 802.1x • 4 Ziffern 1 Punkt und 1 Buchstabe • 169 Seiten umfassender Standard
Gliederung • Vorwort • Einleitung • IEEE 802.1x – Standard • Inhalt des Standards • Grundlagen und Begrifflichkeiten • Ablauf einer Authentifizierung • Protokolle • Protokolle zwischen Authenticator und Supplicant - EAP • EAP Ablauf • Aufbau eines EAP-Pakets • EAP-Methoden • EAP-MD5 • EAP-TLS • EAP-TTLS und PEAP • EAP-Kapselung - EAPOL • Protokolle zwischen Authenticator und Authentication Server – RADIUS • Probleme • Ausblick • Praktische Erfahrungen • Zusammenfassung • Quellen
Einleitung Abbildung 1
Einleitung • Sensible Daten müssen im Firmennetz geschützt werden • Firewalls, Intrusion Detection Systeme, … • Erheblicher Aufwand um Angriffe von Außen abzuwehren
Einleitung „Laut einer Studie der Meta Group erfolgen rund 70 Prozent aller Sicherheitsverstöße aus dem internen Netz heraus.“ [1]
Einleitung • Sicherheit durch MAC-Filter? • Zuordnung Hardware -> Zugriffsrecht ist fragwürdig • MAC-Adresse ist mit einfachsten Mitteln änderbar • Administrativer Aufwand recht hoch
MAC-Adresse ändern mit WinXP-Boardmitteln Abbildung 2
IEEE 802.1x Standard • Im Juni 2001 zertifiziert und 2004 letzmalig überarbeitet • Einsetzbar in allen 802er LAN • Nutzerauthentifizierung bevor Zugang zum LAN besteht
Inhalt des Standards • Wie läuft eine Authentifizierung ab? • Wie werden die Zugangskontrollmechanismen realisiert? • Beschreibt die unterschiedlichen Zustände in denen sich ein Port befinden kann und das damit verbundene Verhalten • Beschreibt die Anforderungen an ein Protokoll, das für die Kommunikation zwischen dem zu authentifizierenden System und dem authentifizierenden System (Authenticator) einzusetzen ist • Beschreibt die Anforderungen an ein Protokoll zwischen dem authentifizierenden System und einem Authentifizierungsserver • Spezifiziert Anforderungen an Geräte, die diese Art Authentifizierungsservice bieten.
Grundlagen und Begrifflichkeiten • 3 Rollen bei einer Authentifizierung • Supplicant:System, welches Zugang zum Netzwerk erhalten möchte und sich authentifizieren will • Authenticator:System, das den Zugangspunkt zum Netz kontrolliert und die Authentifizierung ermöglicht • Authentication Server:stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung. Dieser Dienst entscheidet anhand der vom Supplicant zur Verfügung gestellten Identifikationsdokumente (Credentials), ob der Zugang zum Netz gewährt werden darf.
Grundlagen und Begrifflichkeiten • Network Acces Port (NAP):physikalischer oder auch logischer (im Falle von WLAN) Verbindungspunkt zum LAN • Wie soll man eine Zugangskontrolle realisieren „ohne“ Zugang zum Netz? • NAP ist in interner Sicht zweigeteilt
Grundlagen und Begrifflichkeiten Abbildung 3
Grundlagen und Begrifflichkeiten • Port Access Entity (PAE):steuert den Zustand des CPsteuert auch die Kommunikation, die zur Authentifizierung nötig ist
Ablauf einer Authentifizierung • Ausgangssituation: • Supplicant nicht authentifiziert • Controlled Port (CP) des Authenticators geschlossen • Uncontrolled Port (UCP) des Authenticators ist für Authentifzierungskommunikation geöffnet
Ablauf einer Authentifizierung Abbildung 4
Ablauf einer Authentifizierung • Supplicant und Authenticator übernehmen nacheinander die entsprechenden Rollen – gegenseitige (mutual) Authentifizierung – mehr SICHERHEIT (WLAN-Bereich) • Reauthentifizierung nach einer gewissen Zeitperiode (ähnlich DHCP-Lease)
Protokolle • Wo? • Kommunikation zwischen Authenticator und Supplicant • Kommunikation zwischen Authenticator und Authentication Server
EAP • EAP = Extensible Authentication Protocol (RFC3748) • Ebene 2 im OSI-Modell • Bietet einige Authentifizierungsverfahren • Aushandlung einer Authentifizierungsmethode • Authentifizierung nach der ausgewählten Methode
EAP-Ablauf • Request-Response-Verfahren • Authenticator fordert Supplicant zur Identifizierung auf • Hiernach ist Authenticator nur noch Vermittler zwischen Supplicant und Authentication Server • Challange des Authentication Servers an Supplicant
EAP-Ablauf • Antwort mit Challengelösung oder signalisieren, dass Authentifizierungsmethode vom Supplicant nicht verstanden wird und eine andere vorschlagen • Korrekte Antwort -> EAP-Erfolg -> CP öffnen
Aufbau von EAP-Paketen • Header + Datenfeld
EAP-Kommunikation Beispiel Abbildung 5
EAP-Methoden • Sicherheit? • Vorraussetzung zur Anwendung? • Wie einfach ist eine praktische Umsetzung?
EAP-MD5 • Kommunikation ist unverschlüsselt • Keinerlei spezielle Anforderungen oder Vorraussetzungen an Umfeld • Praktische Umsetzung einfach • Authentifizierung durch MD5 Challange • Sicher gegen Replay-Angriffe • Gefährdet durch Dictonary-Angriffe
EAP-TLS • TLS = Transport Layer Security • Setzt eine PKI (Public-Key-Infrastructure) vorraus • Schwieriger in der praktischen Anwendung • Gegenseitige Identifizierung durch Zertifikate • Sehr sicher –> WPA-Authentifizierungsverfahren
EAP-TTLS und PEAP • TTLS (Tunneled TLS) und Protected EAP benötigen keine PKI • Server identifiziert sich gegenüber des Clients • Aufbau eines sicheren Tunnels • Einfacher umszusetzen, aber trotzdem sehr sicher
EAP-Kapselung - EAPOL • EAP-Pakete müssen in Layer2-Pakete gekapselt werden • Ethernet-Frames • Token-Ring-Frames • EAP Over LAN • EAP-Kommunikation ist von EAPOL-Start und EAPOL-Logoff umrahmt
EAP-Kapselung - EAPOL • Normale EAP-Pakete in EAPOL-Paketen (Typ 0) verpackt • EAPOL-Pakete sind nicht integritätsgesichert • DOS-Angriff durch spammen von EAPOL-Start-Paketen möglich
RADIUS • RADIUS (Remote Authentication Dial-In User Service) • User Authentifizierung nach festen Regeln • Anfrage kann auch an weiteren Server weitergeleitet werden (Bsp.: LDAP) • RADIUS-Protokoll spezifiziert in RFC 2865 incl. EAP-Extension (RFC 3579)
RADIUS • Im Falle von 802.1x als Transportprotokoll für EAP-Pakete • UDP-Port 1812 • RADIUS-Pakete nur per preshared Secret verschlüsselt – UNSICHER! • EAP-Pakete per Messega-Authenticator-Attribut verschlüsselt (aber auch anfällig gegen Dictonary-Attacks)
RADIUS • RADIUS-Kommunikation muss zusätzlich durch geeignete Methoden abgesichert werden • Nachfolger von RADIUS momentan in Entwicklung -> DIAMETER
Probleme • 802.1x bietet flexibles Baukastensystem • Fehlkonfigurationen an einer Stelle gefährden das gesamte Sicherheitskonzept • Die Authentifizierungskette ist nur so stark wie ihr schwächstes Glied!
Probleme • 802.1x inkompatible Geräte schwer zu integrieren (IP-Telefone, Drucker) • 802.1x Features entsprechender Hardware schlecht dokumentiert • Gewisse Einarbeitungszeit in die Thematik notwendig • Wake on LAN funktioniert nicht • Viele Herstellerspezifische Zusätze zum Standard
Quellen • [1] wlan.informatik.uni-rostock.de/literatur/downloads/ps/nww_1401.ps • www.freeradius.net • www.wireshark.org • www.uni-koblenz.de/~steigner/seminar-wlan/4-feldmann.pdf • security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf • www.informatik.uni-hamburg.de/SVS/teaching/ss2005/seminar/Seminar_Radius.pdf • www-wlan.uni-regensburg.de/8021x.html • www.networksorcery.com/enp/default0901.htm (RFCs) • www.ietf.org/rfc.html • de.wikipedia.org • standards.ieee.org/getieee802/802.1.html (IEEE802.1x Standard) • www.iks.hs-merseburg.de/~uheuert/pdf/Anwendung%20Rechnernetze/Vortraege/WS2005_06/Marco%20Francke%20-%20IEEE802.1x%20Authentifizierung/IEEE802.1x%20(Marco%20Francke).pdf • Abbildungen: • Screenshot WinXP Home Edition • Screenshot WinXp Home Edition • standards.ieee.org/getieee802/802.1.html • standards.ieee.org/getieee802/802.1.html • Sequenzdiagramm, erstellt mit Poseidon UML CE