IEEE 802.1x

1. IEEE 802.1x Port Based Authentication

2. Vorwort 802.1x • 4 Ziffern 1 Punkt und 1 Buchstabe • 169 Seiten umfassender Standard

3. Gliederung • Vorwort • Einleitung • IEEE 802.1x – Standard • Inhalt des Standards • Grundlagen und Begrifflichkeiten • Ablauf einer Authentifizierung • Protokolle • Protokolle zwischen Authenticator und Supplicant - EAP • EAP Ablauf • Aufbau eines EAP-Pakets • EAP-Methoden • EAP-MD5 • EAP-TLS • EAP-TTLS und PEAP • EAP-Kapselung - EAPOL • Protokolle zwischen Authenticator und Authentication Server – RADIUS • Probleme • Ausblick • Praktische Erfahrungen • Zusammenfassung • Quellen

4. Einleitung Abbildung 1

5. Einleitung • Sensible Daten müssen im Firmennetz geschützt werden • Firewalls, Intrusion Detection Systeme, … • Erheblicher Aufwand um Angriffe von Außen abzuwehren

6. Einleitung „Laut einer Studie der Meta Group erfolgen rund 70 Prozent aller Sicherheitsverstöße aus dem internen Netz heraus.“ [1]

7. Einleitung • Sicherheit durch MAC-Filter? • Zuordnung Hardware -> Zugriffsrecht ist fragwürdig • MAC-Adresse ist mit einfachsten Mitteln änderbar • Administrativer Aufwand recht hoch

8. MAC-Adresse ändern mit WinXP-Boardmitteln Abbildung 2

9. IEEE 802.1x Standard • Im Juni 2001 zertifiziert und 2004 letzmalig überarbeitet • Einsetzbar in allen 802er LAN • Nutzerauthentifizierung bevor Zugang zum LAN besteht

10. Inhalt des Standards • Wie läuft eine Authentifizierung ab? • Wie werden die Zugangskontrollmechanismen realisiert? • Beschreibt die unterschiedlichen Zustände in denen sich ein Port befinden kann und das damit verbundene Verhalten • Beschreibt die Anforderungen an ein Protokoll, das für die Kommunikation zwischen dem zu authentifizierenden System und dem authentifizierenden System (Authenticator) einzusetzen ist • Beschreibt die Anforderungen an ein Protokoll zwischen dem authentifizierenden System und einem Authentifizierungsserver • Spezifiziert Anforderungen an Geräte, die diese Art Authentifizierungsservice bieten.

11. Grundlagen und Begrifflichkeiten • 3 Rollen bei einer Authentifizierung • Supplicant:System, welches Zugang zum Netzwerk erhalten möchte und sich authentifizieren will • Authenticator:System, das den Zugangspunkt zum Netz kontrolliert und die Authentifizierung ermöglicht • Authentication Server:stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung. Dieser Dienst entscheidet anhand der vom Supplicant zur Verfügung gestellten Identifikationsdokumente (Credentials), ob der Zugang zum Netz gewährt werden darf.

12. Grundlagen und Begrifflichkeiten • Network Acces Port (NAP):physikalischer oder auch logischer (im Falle von WLAN) Verbindungspunkt zum LAN • Wie soll man eine Zugangskontrolle realisieren „ohne“ Zugang zum Netz? • NAP ist in interner Sicht zweigeteilt

13. Grundlagen und Begrifflichkeiten Abbildung 3

14. Grundlagen und Begrifflichkeiten • Port Access Entity (PAE):steuert den Zustand des CPsteuert auch die Kommunikation, die zur Authentifizierung nötig ist

15. Ablauf einer Authentifizierung • Ausgangssituation: • Supplicant nicht authentifiziert • Controlled Port (CP) des Authenticators geschlossen • Uncontrolled Port (UCP) des Authenticators ist für Authentifzierungskommunikation geöffnet

16. Ablauf einer Authentifizierung Abbildung 4

17. Ablauf einer Authentifizierung • Supplicant und Authenticator übernehmen nacheinander die entsprechenden Rollen – gegenseitige (mutual) Authentifizierung – mehr SICHERHEIT (WLAN-Bereich) • Reauthentifizierung nach einer gewissen Zeitperiode (ähnlich DHCP-Lease)

18. Protokolle • Wo? • Kommunikation zwischen Authenticator und Supplicant • Kommunikation zwischen Authenticator und Authentication Server

19. EAP • EAP = Extensible Authentication Protocol (RFC3748) • Ebene 2 im OSI-Modell • Bietet einige Authentifizierungsverfahren • Aushandlung einer Authentifizierungsmethode • Authentifizierung nach der ausgewählten Methode

20. EAP-Ablauf • Request-Response-Verfahren • Authenticator fordert Supplicant zur Identifizierung auf • Hiernach ist Authenticator nur noch Vermittler zwischen Supplicant und Authentication Server • Challange des Authentication Servers an Supplicant

21. EAP-Ablauf • Antwort mit Challengelösung oder signalisieren, dass Authentifizierungsmethode vom Supplicant nicht verstanden wird und eine andere vorschlagen • Korrekte Antwort -> EAP-Erfolg -> CP öffnen

22. Aufbau von EAP-Paketen • Header + Datenfeld

23. EAP-Kommunikation Beispiel Abbildung 5

24. EAP-Methoden • Sicherheit? • Vorraussetzung zur Anwendung? • Wie einfach ist eine praktische Umsetzung?

25. EAP-MD5 • Kommunikation ist unverschlüsselt • Keinerlei spezielle Anforderungen oder Vorraussetzungen an Umfeld • Praktische Umsetzung einfach • Authentifizierung durch MD5 Challange • Sicher gegen Replay-Angriffe • Gefährdet durch Dictonary-Angriffe

26. EAP-TLS • TLS = Transport Layer Security • Setzt eine PKI (Public-Key-Infrastructure) vorraus • Schwieriger in der praktischen Anwendung • Gegenseitige Identifizierung durch Zertifikate • Sehr sicher –> WPA-Authentifizierungsverfahren

27. EAP-TTLS und PEAP • TTLS (Tunneled TLS) und Protected EAP benötigen keine PKI • Server identifiziert sich gegenüber des Clients • Aufbau eines sicheren Tunnels • Einfacher umszusetzen, aber trotzdem sehr sicher

28. EAP-Kapselung - EAPOL • EAP-Pakete müssen in Layer2-Pakete gekapselt werden • Ethernet-Frames • Token-Ring-Frames • EAP Over LAN • EAP-Kommunikation ist von EAPOL-Start und EAPOL-Logoff umrahmt

29. EAP-Kapselung - EAPOL • Normale EAP-Pakete in EAPOL-Paketen (Typ 0) verpackt • EAPOL-Pakete sind nicht integritätsgesichert • DOS-Angriff durch spammen von EAPOL-Start-Paketen möglich

30. RADIUS • RADIUS (Remote Authentication Dial-In User Service) • User Authentifizierung nach festen Regeln • Anfrage kann auch an weiteren Server weitergeleitet werden (Bsp.: LDAP) • RADIUS-Protokoll spezifiziert in RFC 2865 incl. EAP-Extension (RFC 3579)

31. RADIUS • Im Falle von 802.1x als Transportprotokoll für EAP-Pakete • UDP-Port 1812 • RADIUS-Pakete nur per preshared Secret verschlüsselt – UNSICHER! • EAP-Pakete per Messega-Authenticator-Attribut verschlüsselt (aber auch anfällig gegen Dictonary-Attacks)

32. RADIUS • RADIUS-Kommunikation muss zusätzlich durch geeignete Methoden abgesichert werden • Nachfolger von RADIUS momentan in Entwicklung -> DIAMETER

33. Probleme • 802.1x bietet flexibles Baukastensystem • Fehlkonfigurationen an einer Stelle gefährden das gesamte Sicherheitskonzept • Die Authentifizierungskette ist nur so stark wie ihr schwächstes Glied!

34. Probleme • 802.1x inkompatible Geräte schwer zu integrieren (IP-Telefone, Drucker) • 802.1x Features entsprechender Hardware schlecht dokumentiert • Gewisse Einarbeitungszeit in die Thematik notwendig • Wake on LAN funktioniert nicht • Viele Herstellerspezifische Zusätze zum Standard

35. Praktische Erfahrungen

37. Quellen • [1] wlan.informatik.uni-rostock.de/literatur/downloads/ps/nww_1401.ps • www.freeradius.net • www.wireshark.org • www.uni-koblenz.de/~steigner/seminar-wlan/4-feldmann.pdf • security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf • www.informatik.uni-hamburg.de/SVS/teaching/ss2005/seminar/Seminar_Radius.pdf • www-wlan.uni-regensburg.de/8021x.html • www.networksorcery.com/enp/default0901.htm (RFCs) • www.ietf.org/rfc.html • de.wikipedia.org • standards.ieee.org/getieee802/802.1.html (IEEE802.1x Standard) • www.iks.hs-merseburg.de/~uheuert/pdf/Anwendung%20Rechnernetze/Vortraege/WS2005_06/Marco%20Francke%20-%20IEEE802.1x%20Authentifizierung/IEEE802.1x%20(Marco%20Francke).pdf • Abbildungen: • Screenshot WinXP Home Edition • Screenshot WinXp Home Edition • standards.ieee.org/getieee802/802.1.html • standards.ieee.org/getieee802/802.1.html • Sequenzdiagramm, erstellt mit Poseidon UML CE