|
|
 |
 |
|
 PAP, MS-CHAP, etc.
| WPA und 802.11i
|
EAP, PEAP, 802.1X |
| |
|
|
802.1X - EAPoL |
Bei 802.1X handelt es sich um ein Verfahren zur Port-basierten Zugangskontrolle und dient zur Absicherung eines LAN, besonders wenn (halb)öffentliche RJ45 Steckdosen im Geschäftslokal existieren, und WLAN. Es gestattet nur authentifizierten Clients (Supplicants) einen Zugang zum Netzwerk und für WEP sogar dynamische Schlüsselerstellung. Eine auf Layer 2 arbeitende Ethernet-Bridge oder WLAN-Access Point (Authenticator) exekutiert den Zugang von Clients über WLAN oder halböffentlichem Ethernet. Der Authenticator ist aber nicht der Authentication Server, der über den Zugang entscheidet.
EAP ist dabei das Framework für die Authentifizierung und man spricht, je nach Medientyp von EAPoL (EAP over LAN) oder von EAPoW (EAP over Wireless). Als Authentication Server wird RADIUS eingesetzt und zwischen Authenticator und Authentication Server kommt EAP over RADIUS zum Einsatz. Der Authenticator verhält sich dabei wie ein RADIUS-Client. Bei den EAP-Authentifizierungstypen, wo Schlüsselmaterial generiert wird, kann dieses als (Unicast-) Verteilungsschlüssel für (WEP-) Schlüssel fungieren. Erst nach erfolgreicher Authentisierung gibt der Authenticator alle Ports - und somit den Zugriff auf das dahinter liegende LAN frei.
|
|
 |
|
802.1X |
|
EAP |
Das PPP - Extensible Authentication Protocol, beschrieben im RFC 2284, ist ein Transportmechanismus für verschiedene zusätzliche Authentifizierungsvarianten über PPP, aufgeführt sind MD5-Challenge (CHAP mit MD5), One-Time Password (OTP) gemäß RFC 1938 und "Generic Token Card" (GTC) die eine allgemeine Erweiterungsmöglichkeit darstellt.
Aber nicht alle EAP Typen bieten die Möglichkeit Schlüsselmaterial auszutauschen, eine Erweiterung um solche Vertraulichkeitssicherung bieten PPP-EAP-TLS Authentication Protocol RFC 2716 wo EAP mit Mechanismen von TLS
zur Session Key Generation und dem Einsatz von Zertifikaten beim Server und Client, kombiniert werden. Ebenso ist PEAP eine Möglichkeit und EAP-TTLS (EAP-tunneled TLS Authentication Protocol), dass mit einigen Erweiterungen für WLAN und der fehlenden Notwendigkeit Clientzertifikate zu benutzen auch andere Authentifizierungsmechanismen möglich macht und somit zu PEAP sehr ähnlich ist.
Bei EAP-MD5, EAP-OTP und EAP-GTC wird kein Schlüsselmaterial ausgetauscht. Mittlerweile gibt es auch EAP-SIM, welche die SIM-Karte eines Mobiltelefons benutzt. Manche Hersteller von WLAN Produkten implementieren auch EAP- SPEKE
. LEAP (Lightweight EAP) von CISCO ist ein weiterer Typ aber nicht ganz EAP-konform.
|
|
 |
|
EAP |
|
Protected EAP |
Protected EAP (PEAP) ist eine EAP Erweiterung von Cisco, Microsoft und RSA, bei der zuerst eine TLS-Verbindung aufgebaut wird und erst danach die Authentifizierung über EAP stattfindet. Dafür kann natürlich wiederum jeder EAP Typ eingesetzt werden. Vorteil ist, dass die Identitätsinformation bei der Übertragung geschützt ist. Natürlich ist wiederum auch Authentifizierung über TLS-Clientzertifikat möglich.
Für MS - Umgebungen kann auch auf MS-CHAP v2 über PEAP zurückgegriffen werden.
|
|
EAP und PEAP dienen eigentlich zur Authentifizierung von Rechnern in einem LAN, sind also von Bedeutung wenn der physische Netzwerkzugang nicht gesichert werden kann, wie öffentlich zugängliche Geschäftsstellen und wird immer wichtiger bei WLAN und RADIUS - Remote Authentication Dial In User Service RFC 2865 / RFC 3579 (RADIUS for EAP).
|
Linktipps |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum