IEEE 802.1x

1
IEEE 802.1x

• Port Based Authentication

2
Vorwort
802.1x

• 4 Ziffern 1 Punkt und 1 Buchstabe
• 169 Seiten umfassender Standard

3
Gliederung

• Vorwort
• Einleitung
• IEEE 802.1x Standard
• Inhalt des Standards
• Grundlagen und Begrifflichkeiten
• Ablauf einer Authentifizierung
• Protokolle
• Protokolle zwischen Authenticator und Supplicant
  - EAP
• EAP Ablauf
• Aufbau eines EAP-Pakets
• EAP-Methoden
• EAP-MD5
• EAP-TLS
• EAP-TTLS und PEAP
• EAP-Kapselung - EAPOL
• Protokolle zwischen Authenticator und
  Authentication Server RADIUS
• Probleme
• Ausblick
• Praktische Erfahrungen

4
Einleitung
Abbildung 1
5
Einleitung

• Sensible Daten müssen im Firmennetz geschützt
  werden
• Firewalls, Intrusion Detection Systeme,
• Erheblicher Aufwand um Angriffe von Außen
  abzuwehren

6
Einleitung

• Laut einer Studie der Meta Group erfolgen rund
  70 Prozent aller Sicherheitsverstöße aus dem
  internen Netz heraus. 1

7
Einleitung

• Sicherheit durch MAC-Filter?
• Zuordnung Hardware -gt Zugriffsrecht ist
  fragwürdig
• MAC-Adresse ist mit einfachsten Mitteln änderbar
• Administrativer Aufwand recht hoch

8
MAC-Adresse ändern mit WinXP-Boardmitteln
Abbildung 2
9
IEEE 802.1x Standard

• Im Juni 2001 zertifiziert und 2004 letzmalig
  überarbeitet
• Einsetzbar in allen 802er LAN
• Nutzerauthentifizierung bevor Zugang zum LAN
  besteht

10
Inhalt des Standards

• Wie läuft eine Authentifizierung ab?
• Wie werden die Zugangskontrollmechanismen
  realisiert?
• Beschreibt die unterschiedlichen Zustände in
  denen sich ein Port befinden kann und das damit
  verbundene Verhalten
• Beschreibt die Anforderungen an ein Protokoll,
  das für die Kommunikation zwischen dem zu
  authentifizierenden System und dem
  authentifizierenden System (Authenticator)
  einzusetzen ist
• Beschreibt die Anforderungen an ein Protokoll
  zwischen dem authentifizierenden System und einem
  Authentifizierungsserver
• Spezifiziert Anforderungen an Geräte, die diese
  Art Authentifizierungsservice bieten.

11
Grundlagen und Begrifflichkeiten

• 3 Rollen bei einer Authentifizierung
• SupplicantSystem, welches Zugang zum Netzwerk
  erhalten möchte und sich authentifizieren will
• AuthenticatorSystem, das den Zugangspunkt zum
  Netz kontrolliert und die Authentifizierung
  ermöglicht
• Authentication Serverstellt dem Authenticator
  einen Authentifizierungsdienst zur Verfügung.
  Dieser Dienst entscheidet anhand der vom
  Supplicant zur Verfügung gestellten
  Identifikationsdokumente (Credentials), ob der
  Zugang zum Netz gewährt werden darf.

12
Grundlagen und Begrifflichkeiten

• Network Acces Port (NAP)physikalischer oder
  auch logischer (im Falle von WLAN)
  Verbindungspunkt zum LAN
• Wie soll man eine Zugangskontrolle realisieren
  ohne Zugang zum Netz?
• NAP ist in interner Sicht zweigeteilt

13
Grundlagen und Begrifflichkeiten
Abbildung 3
14
Grundlagen und Begrifflichkeiten

• Port Access Entity (PAE)steuert den Zustand des
  CPsteuert auch die Kommunikation, die zur
  Authentifizierung nötig ist

15
Ablauf einer Authentifizierung

• Ausgangssituation
• Supplicant nicht authentifiziert
• Controlled Port (CP) des Authenticators
  geschlossen
• Uncontrolled Port (UCP) des Authenticators ist
  für Authentifzierungskommunikation geöffnet

16
Ablauf einer Authentifizierung
Abbildung 4
17
Ablauf einer Authentifizierung

• Supplicant und Authenticator übernehmen
  nacheinander die entsprechenden Rollen
  gegenseitige (mutual) Authentifizierung mehr
  SICHERHEIT (WLAN-Bereich)
• Reauthentifizierung nach einer gewissen
  Zeitperiode (ähnlich DHCP-Lease)

18
Protokolle

• Wo?
• Kommunikation zwischen Authenticator und
  Supplicant
• Kommunikation zwischen Authenticator und
  Authentication Server

19
EAP

• EAP Extensible Authentication Protocol
  (RFC3748)
• Ebene 2 im OSI-Modell
• Bietet einige Authentifizierungsverfahren
• Aushandlung einer Authentifizierungsmethode
• Authentifizierung nach der ausgewählten Methode

20
EAP-Ablauf

• Request-Response-Verfahren
• Authenticator fordert Supplicant zur
  Identifizierung auf
• Hiernach ist Authenticator nur noch Vermittler
  zwischen Supplicant und Authentication Server
• Challange des Authentication Servers an Supplicant

21
EAP-Ablauf

• Antwort mit Challengelösung oder signalisieren,
  dass Authentifizierungsmethode vom Supplicant
  nicht verstanden wird und eine andere vorschlagen
• Korrekte Antwort -gt EAP-Erfolg -gt CP öffnen

22
Aufbau von EAP-Paketen

• Header Datenfeld

23
EAP-Kommunikation Beispiel
Abbildung 5
24
EAP-Methoden

• Sicherheit?
• Vorraussetzung zur Anwendung?
• Wie einfach ist eine praktische Umsetzung?

25
EAP-MD5

• Kommunikation ist unverschlüsselt
• Keinerlei spezielle Anforderungen oder
  Vorraussetzungen an Umfeld
• Praktische Umsetzung einfach
• Authentifizierung durch MD5 Challange
• Sicher gegen Replay-Angriffe
• Gefährdet durch Dictonary-Angriffe

26
EAP-TLS

• TLS Transport Layer Security
• Setzt eine PKI (Public-Key-Infrastructure)
  vorraus
• Schwieriger in der praktischen Anwendung
• Gegenseitige Identifizierung durch Zertifikate
• Sehr sicher gt WPA-Authentifizierungsverfahren

27
EAP-TTLS und PEAP

• TTLS (Tunneled TLS) und Protected EAP benötigen
  keine PKI
• Server identifiziert sich gegenüber des Clients
• Aufbau eines sicheren Tunnels
• Einfacher umszusetzen, aber trotzdem sehr sicher

28
EAP-Kapselung - EAPOL

• EAP-Pakete müssen in Layer2-Pakete gekapselt
  werden
• Ethernet-Frames
• Token-Ring-Frames
• EAP Over LAN
• EAP-Kommunikation ist von EAPOL-Start und
  EAPOL-Logoff umrahmt

29
EAP-Kapselung - EAPOL

• Normale EAP-Pakete in EAPOL-Paketen (Typ 0)
  verpackt
• EAPOL-Pakete sind nicht integritätsgesichert
• DOS-Angriff durch spammen von EAPOL-Start-Paketen
  möglich

30
RADIUS

• RADIUS (Remote Authentication Dial-In User
  Service)
• User Authentifizierung nach festen Regeln
• Anfrage kann auch an weiteren Server
  weitergeleitet werden (Bsp. LDAP)
• RADIUS-Protokoll spezifiziert in RFC 2865 incl.
  EAP-Extension (RFC 3579)

31
RADIUS

• Im Falle von 802.1x als Transportprotokoll für
  EAP-Pakete
• UDP-Port 1812
• RADIUS-Pakete nur per preshared Secret
  verschlüsselt UNSICHER!
• EAP-Pakete per Messega-Authenticator-Attribut
  verschlüsselt (aber auch anfällig gegen
  Dictonary-Attacks)

32
RADIUS

• RADIUS-Kommunikation muss zusätzlich durch
  geeignete Methoden abgesichert werden
• Nachfolger von RADIUS momentan in Entwicklung -gt
  DIAMETER

33
Probleme

• 802.1x bietet flexibles Baukastensystem
• Fehlkonfigurationen an einer Stelle gefährden das
  gesamte Sicherheitskonzept
• Die Authentifizierungskette ist nur so stark wie
  ihr schwächstes Glied!

34
Probleme

• 802.1x inkompatible Geräte schwer zu integrieren
  (IP-Telefone, Drucker)
• 802.1x Features entsprechender Hardware schlecht
  dokumentiert
• Gewisse Einarbeitungszeit in die Thematik
  notwendig
• Wake on LAN funktioniert nicht
• Viele Herstellerspezifische Zusätze zum Standard

35
Praktische Erfahrungen
36
(No Transcript)
37
Quellen

• 1 wlan.informatik.uni-rostock.de/literatur/downl
  oads/ps/nww_1401.ps
• www.freeradius.net
• www.wireshark.org
• www.uni-koblenz.de/steigner/seminar-wlan/4-feldma
  nn.pdf
• security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf
• www.informatik.uni-hamburg.de/SVS/teaching/ss2005/
  seminar/Seminar_Radius.pdf
• www-wlan.uni-regensburg.de/8021x.html
• www.networksorcery.com/enp/default0901.htm (RFCs)
• www.ietf.org/rfc.html
• de.wikipedia.org
• standards.ieee.org/getieee802/802.1.html
  (IEEE802.1x Standard)
• www.iks.hs-merseburg.de/uheuert/pdf/Anwendung20R
  echnernetze/Vortraege/WS2005_06/Marco20Francke20
  -20IEEE802.1x20Authentifizierung/IEEE802.1x20(M
  arco20Francke).pdf
• Abbildungen
• Screenshot WinXP Home Edition
• Screenshot WinXp Home Edition
• standards.ieee.org/getieee802/802.1.html
• standards.ieee.org/getieee802/802.1.html
• Sequenzdiagramm, erstellt mit Poseidon UML CE