ieee 802.1x port based authentication. vorwort 4 ziffern 1 punkt und 1 buchstabe 169 seiten...
TRANSCRIPT
IEEE 802.1x
Port Based Authentication
Vorwort
4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard
802.1x
Gliederung1) Vorwort2) Einleitung3) IEEE 802.1x – Standard
1) Inhalt des Standards2) Grundlagen und Begrifflichkeiten3) Ablauf einer Authentifizierung
4) Protokolle1) Protokolle zwischen Authenticator und Supplicant - EAP
1) EAP Ablauf2) Aufbau eines EAP-Pakets3) EAP-Methoden
1) EAP-MD52) EAP-TLS3) EAP-TTLS und PEAP
4) EAP-Kapselung - EAPOL2) Protokolle zwischen Authenticator und Authentication Server – RADIUS
5) Probleme6) Ausblick7) Praktische Erfahrungen8) Zusammenfassung9) Quellen
Einleitung
Abbildung 1
Einleitung Sensible Daten müssen im Firmennetz
geschützt werden Firewalls, Intrusion Detection Systeme,
… Erheblicher Aufwand um Angriffe von
Außen abzuwehren
Einleitung„Laut einer Studie der Meta Group erfolgen rund 70 Prozent aller Sicherheitsverstöße aus dem internen Netz heraus.“ [1]
Einleitung Sicherheit durch MAC-Filter?
• Zuordnung Hardware -> Zugriffsrecht ist fragwürdig
• MAC-Adresse ist mit einfachsten Mitteln änderbar
• Administrativer Aufwand recht hoch
MAC-Adresse ändern mit WinXP-Boardmitteln
Abbildung 2
IEEE 802.1x Standard Im Juni 2001 zertifiziert und 2004
letzmalig überarbeitet Einsetzbar in allen 802er LAN Nutzerauthentifizierung bevor Zugang
zum LAN besteht
Inhalt des Standards Wie läuft eine Authentifizierung ab? Wie werden die Zugangskontrollmechanismen realisiert? Beschreibt die unterschiedlichen Zustände in denen sich ein
Port befinden kann und das damit verbundene Verhalten Beschreibt die Anforderungen an ein Protokoll, das für die
Kommunikation zwischen dem zu authentifizierenden System und dem authentifizierenden System (Authenticator) einzusetzen ist
Beschreibt die Anforderungen an ein Protokoll zwischen dem authentifizierenden System und einem Authentifizierungsserver
Spezifiziert Anforderungen an Geräte, die diese Art Authentifizierungsservice bieten.
Grundlagen und Begrifflichkeiten 3 Rollen bei einer Authentifizierung Supplicant:
System, welches Zugang zum Netzwerk erhalten möchte und sich authentifizieren will
Authenticator:System, das den Zugangspunkt zum Netz kontrolliert und die Authentifizierung ermöglicht
Authentication Server:stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung. Dieser Dienst entscheidet anhand der vom Supplicant zur Verfügung gestellten Identifikationsdokumente (Credentials), ob der Zugang zum Netz gewährt werden darf.
Grundlagen und Begrifflichkeiten Network Acces Port (NAP):
physikalischer oder auch logischer (im Falle von WLAN) Verbindungspunkt zum LAN
Wie soll man eine Zugangskontrolle realisieren „ohne“ Zugang zum Netz?
NAP ist in interner Sicht zweigeteilt
Grundlagen und Begrifflichkeiten
Abbildung 3
Grundlagen und Begrifflichkeiten Port Access Entity (PAE):
steuert den Zustand des CPsteuert auch die Kommunikation, die zur Authentifizierung nötig ist
Ablauf einer Authentifizierung Ausgangssituation:
• Supplicant nicht authentifiziert• Controlled Port (CP) des Authenticators
geschlossen• Uncontrolled Port (UCP) des Authenticators
ist für Authentifzierungskommunikation geöffnet
Ablauf einer Authentifizierung
Abbildung 4
Ablauf einer Authentifizierung Supplicant und Authenticator
übernehmen nacheinander die entsprechenden Rollen – gegenseitige (mutual) Authentifizierung – mehr SICHERHEIT (WLAN-Bereich)
Reauthentifizierung nach einer gewissen Zeitperiode (ähnlich DHCP-Lease)
Protokolle Wo?
• Kommunikation zwischen Authenticator und Supplicant
• Kommunikation zwischen Authenticator und Authentication Server
EAP EAP = Extensible Authentication
Protocol (RFC3748) Ebene 2 im OSI-Modell Bietet einige Authentifizierungsverfahren
• Aushandlung einer Authentifizierungsmethode
• Authentifizierung nach der ausgewählten Methode
EAP-Ablauf Request-Response-Verfahren Authenticator fordert Supplicant zur
Identifizierung auf Hiernach ist Authenticator nur noch
Vermittler zwischen Supplicant und Authentication Server
Challange des Authentication Servers an Supplicant
EAP-Ablauf Antwort mit Challengelösung oder
signalisieren, dass Authentifizierungsmethode vom Supplicant nicht verstanden wird und eine andere vorschlagen
Korrekte Antwort -> EAP-Erfolg -> CP öffnen
Aufbau von EAP-Paketen Header + Datenfeld
EAP-Kommunikation Beispiel
Abbildung 5
EAP-MethodenSicherheit?Vorraussetzung zur
Anwendung?Wie einfach ist eine praktische
Umsetzung?
EAP-MD5 Kommunikation ist unverschlüsselt Keinerlei spezielle Anforderungen oder
Vorraussetzungen an Umfeld Praktische Umsetzung einfach Authentifizierung durch MD5 Challange Sicher gegen Replay-Angriffe Gefährdet durch Dictonary-Angriffe
EAP-TLS TLS = Transport Layer Security Setzt eine PKI (Public-Key-Infrastructure)
vorraus Schwieriger in der praktischen Anwendung Gegenseitige Identifizierung durch Zertifikate Sehr sicher –> WPA-
Authentifizierungsverfahren
EAP-TTLS und PEAP TTLS (Tunneled TLS) und Protected
EAP benötigen keine PKI Server identifiziert sich gegenüber des
Clients Aufbau eines sicheren Tunnels Einfacher umszusetzen, aber trotzdem
sehr sicher
EAP-Kapselung - EAPOL EAP-Pakete müssen in Layer2-Pakete
gekapselt werden• Ethernet-Frames• Token-Ring-Frames
EAP Over LAN EAP-Kommunikation ist von EAPOL-
Start und EAPOL-Logoff umrahmt
EAP-Kapselung - EAPOL Normale EAP-Pakete in EAPOL-Paketen
(Typ 0) verpackt EAPOL-Pakete sind nicht
integritätsgesichert DOS-Angriff durch spammen von
EAPOL-Start-Paketen möglich
RADIUS RADIUS (Remote Authentication Dial-In
User Service) User Authentifizierung nach festen
Regeln Anfrage kann auch an weiteren Server
weitergeleitet werden (Bsp.: LDAP) RADIUS-Protokoll spezifiziert in RFC
2865 incl. EAP-Extension (RFC 3579)
RADIUS Im Falle von 802.1x als
Transportprotokoll für EAP-Pakete UDP-Port 1812 RADIUS-Pakete nur per preshared
Secret verschlüsselt – UNSICHER! EAP-Pakete per Messega-Authenticator-
Attribut verschlüsselt (aber auch anfällig gegen Dictonary-Attacks)
RADIUSRADIUS-Kommunikation muss
zusätzlich durch geeignete Methoden abgesichert werden
Nachfolger von RADIUS momentan in Entwicklung -> DIAMETER
Probleme 802.1x bietet flexibles Baukastensystem Fehlkonfigurationen an einer Stelle
gefährden das gesamte Sicherheitskonzept
Die Authentifizierungskette ist nur so stark wie ihr schwächstes Glied!
Probleme 802.1x inkompatible Geräte schwer zu
integrieren (IP-Telefone, Drucker) 802.1x Features entsprechender Hardware
schlecht dokumentiert Gewisse Einarbeitungszeit in die Thematik
notwendig Wake on LAN funktioniert nicht Viele Herstellerspezifische Zusätze zum
Standard
Praktische Erfahrungen
Quellen [1] wlan.informatik.uni-rostock.de/literatur/downloads/ps/nww_1401.ps www.freeradius.net www.wireshark.org www.uni-koblenz.de/~steigner/seminar-wlan/4-feldmann.pdf security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf www.informatik.uni-hamburg.de/SVS/teaching/ss2005/seminar/Seminar_Radius.pdf www-wlan.uni-regensburg.de/8021x.html www.networksorcery.com/enp/default0901.htm (RFCs) www.ietf.org/rfc.html de.wikipedia.org standards.ieee.org/getieee802/802.1.html (IEEE802.1x Standard) www.iks.hs-merseburg.de/~uheuert/pdf/Anwendung%20Rechnernetze/Vortraege/WS2005_06/
Marco%20Francke%20-%20IEEE802.1x%20Authentifizierung/IEEE802.1x%20(Marco%20Francke).pdf
Abbildungen:1. Screenshot WinXP Home Edition2. Screenshot WinXp Home Edition3. standards.ieee.org/getieee802/802.1.html4. standards.ieee.org/getieee802/802.1.html5. Sequenzdiagramm, erstellt mit Poseidon UML CE