IEEE 802.1x Port Based Authentication
Vorwort 4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard 802.1x
Gliederung 1)Vorwort 2)Einleitung 3)IEEE 802.1x – Standard 1)Inhalt des Standards 2)Grundlagen und Begrifflichkeiten 3)Ablauf einer Authentifizierung 4)Protokolle 1)Protokolle zwischen Authenticator und Supplicant - EAP 1)EAP Ablauf 2)Aufbau eines EAP-Pakets 3)EAP-Methoden 1)EAP-MD5 2)EAP-TLS 3)EAP-TTLS und PEAP 4)EAP-Kapselung - EAPOL 2)Protokolle zwischen Authenticator und Authentication Server – RADIUS 5)Probleme 6)Ausblick 7)Praktische Erfahrungen 8)Zusammenfassung 9)Quellen
Einleitung Abbildung 1
Einleitung Sensible Daten müssen im Firmennetz geschützt werden Firewalls, Intrusion Detection Systeme, … Erheblicher Aufwand um Angriffe von Außen abzuwehren
Einleitung „Laut einer Studie der Meta Group erfolgen rund 70 Prozent aller Sicherheitsverstöße aus dem internen Netz heraus.“ [1]
Einleitung Sicherheit durch MAC-Filter? Zuordnung Hardware -> Zugriffsrecht ist fragwürdig MAC-Adresse ist mit einfachsten Mitteln änderbar Administrativer Aufwand recht hoch
MAC-Adresse ändern mit WinXP- Boardmitteln Abbildung 2
IEEE 802.1x Standard Im Juni 2001 zertifiziert und 2004 letzmalig überarbeitet Einsetzbar in allen 802er LAN Nutzerauthentifizierung bevor Zugang zum LAN besteht
Inhalt des Standards Wie läuft eine Authentifizierung ab? Wie werden die Zugangskontrollmechanismen realisiert? Beschreibt die unterschiedlichen Zustände in denen sich ein Port befinden kann und das damit verbundene Verhalten Beschreibt die Anforderungen an ein Protokoll, das für die Kommunikation zwischen dem zu authentifizierenden System und dem authentifizierenden System (Authenticator) einzusetzen ist Beschreibt die Anforderungen an ein Protokoll zwischen dem authentifizierenden System und einem Authentifizierungsserver Spezifiziert Anforderungen an Geräte, die diese Art Authentifizierungsservice bieten.
Grundlagen und Begrifflichkeiten 3 Rollen bei einer Authentifizierung Supplicant: System, welches Zugang zum Netzwerk erhalten möchte und sich authentifizieren will Authenticator: System, das den Zugangspunkt zum Netz kontrolliert und die Authentifizierung ermöglicht Authentication Server: stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung. Dieser Dienst entscheidet anhand der vom Supplicant zur Verfügung gestellten Identifikationsdokumente (Credentials), ob der Zugang zum Netz gewährt werden darf.
Grundlagen und Begrifflichkeiten Network Acces Port (NAP): physikalischer oder auch logischer (im Falle von WLAN) Verbindungspunkt zum LAN Wie soll man eine Zugangskontrolle realisieren „ohne“ Zugang zum Netz? NAP ist in interner Sicht zweigeteilt
Grundlagen und Begrifflichkeiten Abbildung 3
Grundlagen und Begrifflichkeiten Port Access Entity (PAE): steuert den Zustand des CP steuert auch die Kommunikation, die zur Authentifizierung nötig ist
Ablauf einer Authentifizierung Ausgangssituation: Supplicant nicht authentifiziert Controlled Port (CP) des Authenticators geschlossen Uncontrolled Port (UCP) des Authenticators ist für Authentifzierungskommunikation geöffnet
Ablauf einer Authentifizierung Abbildung 4
Ablauf einer Authentifizierung Supplicant und Authenticator übernehmen nacheinander die entsprechenden Rollen – gegenseitige (mutual) Authentifizierung – mehr SICHERHEIT (WLAN-Bereich) Reauthentifizierung nach einer gewissen Zeitperiode (ähnlich DHCP-Lease)
Protokolle Wo? Kommunikation zwischen Authenticator und Supplicant Kommunikation zwischen Authenticator und Authentication Server
EAP EAP = Extensible Authentication Protocol (RFC3748) Ebene 2 im OSI-Modell Bietet einige Authentifizierungsverfahren Aushandlung einer Authentifizierungsmethode Authentifizierung nach der ausgewählten Methode
EAP-Ablauf Request-Response-Verfahren Authenticator fordert Supplicant zur Identifizierung auf Hiernach ist Authenticator nur noch Vermittler zwischen Supplicant und Authentication Server Challange des Authentication Servers an Supplicant
EAP-Ablauf Antwort mit Challengelösung oder signalisieren, dass Authentifizierungsmethode vom Supplicant nicht verstanden wird und eine andere vorschlagen Korrekte Antwort -> EAP-Erfolg -> CP öffnen
Aufbau von EAP-Paketen Header + Datenfeld
EAP-Kommunikation Beispiel Abbildung 5
EAP-Methoden Sicherheit? Vorraussetzung zur Anwendung? Wie einfach ist eine praktische Umsetzung?
EAP-MD5 Kommunikation ist unverschlüsselt Keinerlei spezielle Anforderungen oder Vorraussetzungen an Umfeld Praktische Umsetzung einfach Authentifizierung durch MD5 Challange Sicher gegen Replay-Angriffe Gefährdet durch Dictonary-Angriffe
EAP-TLS TLS = Transport Layer Security Setzt eine PKI (Public-Key-Infrastructure) vorraus Schwieriger in der praktischen Anwendung Gegenseitige Identifizierung durch Zertifikate Sehr sicher –> WPA- Authentifizierungsverfahren
EAP-TTLS und PEAP TTLS (Tunneled TLS) und Protected EAP benötigen keine PKI Server identifiziert sich gegenüber des Clients Aufbau eines sicheren Tunnels Einfacher umszusetzen, aber trotzdem sehr sicher
EAP-Kapselung - EAPOL EAP-Pakete müssen in Layer2-Pakete gekapselt werden Ethernet-Frames Token-Ring-Frames EAP Over LAN EAP-Kommunikation ist von EAPOL- Start und EAPOL-Logoff umrahmt
EAP-Kapselung - EAPOL Normale EAP-Pakete in EAPOL-Paketen (Typ 0) verpackt EAPOL-Pakete sind nicht integritätsgesichert DOS-Angriff durch spammen von EAPOL-Start-Paketen möglich
RADIUS RADIUS (Remote Authentication Dial-In User Service) User Authentifizierung nach festen Regeln Anfrage kann auch an weiteren Server weitergeleitet werden (Bsp.: LDAP) RADIUS-Protokoll spezifiziert in RFC 2865 incl. EAP-Extension (RFC 3579)
RADIUS Im Falle von 802.1x als Transportprotokoll für EAP-Pakete UDP-Port 1812 RADIUS-Pakete nur per preshared Secret verschlüsselt – UNSICHER! EAP-Pakete per Messega-Authenticator- Attribut verschlüsselt (aber auch anfällig gegen Dictonary-Attacks)
RADIUS RADIUS-Kommunikation muss zusätzlich durch geeignete Methoden abgesichert werden Nachfolger von RADIUS momentan in Entwicklung -> DIAMETER
Probleme 802.1x bietet flexibles Baukastensystem Fehlkonfigurationen an einer Stelle gefährden das gesamte Sicherheitskonzept Die Authentifizierungskette ist nur so stark wie ihr schwächstes Glied!
Probleme 802.1x inkompatible Geräte schwer zu integrieren (IP-Telefone, Drucker) 802.1x Features entsprechender Hardware schlecht dokumentiert Gewisse Einarbeitungszeit in die Thematik notwendig Wake on LAN funktioniert nicht Viele Herstellerspezifische Zusätze zum Standard
Praktische Erfahrungen
Quellen [1] wlan.informatik.uni-rostock.de/literatur/downloads/ps/nww_1401.ps security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf www-wlan.uni-regensburg.de/8021x.html (RFCs) de.wikipedia.org standards.ieee.org/getieee802/802.1.html (IEEE802.1x Standard) merseburg.de/~uheuert/pdf/Anwendung%20Rechnernetze/Vortraege/WS2005_06/Marco%20Fra ncke%20-%20IEEE802.1x%20Authentifizierung/IEEE802.1x%20(Marco%20Francke).pdf Abbildungen: 1. Screenshot WinXP Home Edition 2. Screenshot WinXp Home Edition 3. standards.ieee.org/getieee802/802.1.html 4. standards.ieee.org/getieee802/802.1.html 5. Sequenzdiagramm, erstellt mit Poseidon UML CE