IEEE 802.1x Port Based Authentication. Vorwort 4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard 802.1x.

Präsentation zum Thema: "IEEE 802.1x Port Based Authentication. Vorwort 4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard 802.1x."—  Präsentation transkript:

1 IEEE 802.1x Port Based Authentication

2 Vorwort 4 Ziffern 1 Punkt und 1 Buchstabe 169 Seiten umfassender Standard 802.1x

3 Gliederung 1)Vorwort 2)Einleitung 3)IEEE 802.1x – Standard 1)Inhalt des Standards 2)Grundlagen und Begrifflichkeiten 3)Ablauf einer Authentifizierung 4)Protokolle 1)Protokolle zwischen Authenticator und Supplicant - EAP 1)EAP Ablauf 2)Aufbau eines EAP-Pakets 3)EAP-Methoden 1)EAP-MD5 2)EAP-TLS 3)EAP-TTLS und PEAP 4)EAP-Kapselung - EAPOL 2)Protokolle zwischen Authenticator und Authentication Server – RADIUS 5)Probleme 6)Ausblick 7)Praktische Erfahrungen 8)Zusammenfassung 9)Quellen

4 Einleitung Abbildung 1

5 Einleitung Sensible Daten müssen im Firmennetz geschützt werden Firewalls, Intrusion Detection Systeme, … Erheblicher Aufwand um Angriffe von Außen abzuwehren

6 Einleitung „Laut einer Studie der Meta Group erfolgen rund 70 Prozent aller Sicherheitsverstöße aus dem internen Netz heraus.“ [1]

7 Einleitung Sicherheit durch MAC-Filter? Zuordnung Hardware -> Zugriffsrecht ist fragwürdig MAC-Adresse ist mit einfachsten Mitteln änderbar Administrativer Aufwand recht hoch

8 MAC-Adresse ändern mit WinXP- Boardmitteln Abbildung 2

9 IEEE 802.1x Standard Im Juni 2001 zertifiziert und 2004 letzmalig überarbeitet Einsetzbar in allen 802er LAN Nutzerauthentifizierung bevor Zugang zum LAN besteht

10 Inhalt des Standards Wie läuft eine Authentifizierung ab? Wie werden die Zugangskontrollmechanismen realisiert? Beschreibt die unterschiedlichen Zustände in denen sich ein Port befinden kann und das damit verbundene Verhalten Beschreibt die Anforderungen an ein Protokoll, das für die Kommunikation zwischen dem zu authentifizierenden System und dem authentifizierenden System (Authenticator) einzusetzen ist Beschreibt die Anforderungen an ein Protokoll zwischen dem authentifizierenden System und einem Authentifizierungsserver Spezifiziert Anforderungen an Geräte, die diese Art Authentifizierungsservice bieten.

11 Grundlagen und Begrifflichkeiten 3 Rollen bei einer Authentifizierung Supplicant: System, welches Zugang zum Netzwerk erhalten möchte und sich authentifizieren will Authenticator: System, das den Zugangspunkt zum Netz kontrolliert und die Authentifizierung ermöglicht Authentication Server: stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung. Dieser Dienst entscheidet anhand der vom Supplicant zur Verfügung gestellten Identifikationsdokumente (Credentials), ob der Zugang zum Netz gewährt werden darf.

12 Grundlagen und Begrifflichkeiten Network Acces Port (NAP): physikalischer oder auch logischer (im Falle von WLAN) Verbindungspunkt zum LAN Wie soll man eine Zugangskontrolle realisieren „ohne“ Zugang zum Netz? NAP ist in interner Sicht zweigeteilt

13 Grundlagen und Begrifflichkeiten Abbildung 3

14 Grundlagen und Begrifflichkeiten Port Access Entity (PAE): steuert den Zustand des CP steuert auch die Kommunikation, die zur Authentifizierung nötig ist

15 Ablauf einer Authentifizierung Ausgangssituation: Supplicant nicht authentifiziert Controlled Port (CP) des Authenticators geschlossen Uncontrolled Port (UCP) des Authenticators ist für Authentifzierungskommunikation geöffnet

16 Ablauf einer Authentifizierung Abbildung 4

17 Ablauf einer Authentifizierung Supplicant und Authenticator übernehmen nacheinander die entsprechenden Rollen – gegenseitige (mutual) Authentifizierung – mehr SICHERHEIT (WLAN-Bereich) Reauthentifizierung nach einer gewissen Zeitperiode (ähnlich DHCP-Lease)

18 Protokolle Wo? Kommunikation zwischen Authenticator und Supplicant Kommunikation zwischen Authenticator und Authentication Server

19 EAP EAP = Extensible Authentication Protocol (RFC3748) Ebene 2 im OSI-Modell Bietet einige Authentifizierungsverfahren Aushandlung einer Authentifizierungsmethode Authentifizierung nach der ausgewählten Methode

20 EAP-Ablauf Request-Response-Verfahren Authenticator fordert Supplicant zur Identifizierung auf Hiernach ist Authenticator nur noch Vermittler zwischen Supplicant und Authentication Server Challange des Authentication Servers an Supplicant

21 EAP-Ablauf Antwort mit Challengelösung oder signalisieren, dass Authentifizierungsmethode vom Supplicant nicht verstanden wird und eine andere vorschlagen Korrekte Antwort -> EAP-Erfolg -> CP öffnen

22 Aufbau von EAP-Paketen Header + Datenfeld

23 EAP-Kommunikation Beispiel Abbildung 5

24 EAP-Methoden Sicherheit? Vorraussetzung zur Anwendung? Wie einfach ist eine praktische Umsetzung?

25 EAP-MD5 Kommunikation ist unverschlüsselt Keinerlei spezielle Anforderungen oder Vorraussetzungen an Umfeld Praktische Umsetzung einfach Authentifizierung durch MD5 Challange Sicher gegen Replay-Angriffe Gefährdet durch Dictonary-Angriffe

26 EAP-TLS TLS = Transport Layer Security Setzt eine PKI (Public-Key-Infrastructure) vorraus Schwieriger in der praktischen Anwendung Gegenseitige Identifizierung durch Zertifikate Sehr sicher –> WPA- Authentifizierungsverfahren

27 EAP-TTLS und PEAP TTLS (Tunneled TLS) und Protected EAP benötigen keine PKI Server identifiziert sich gegenüber des Clients Aufbau eines sicheren Tunnels Einfacher umszusetzen, aber trotzdem sehr sicher

28 EAP-Kapselung - EAPOL EAP-Pakete müssen in Layer2-Pakete gekapselt werden Ethernet-Frames Token-Ring-Frames EAP Over LAN EAP-Kommunikation ist von EAPOL- Start und EAPOL-Logoff umrahmt

29 EAP-Kapselung - EAPOL Normale EAP-Pakete in EAPOL-Paketen (Typ 0) verpackt EAPOL-Pakete sind nicht integritätsgesichert DOS-Angriff durch spammen von EAPOL-Start-Paketen möglich

30 RADIUS RADIUS (Remote Authentication Dial-In User Service) User Authentifizierung nach festen Regeln Anfrage kann auch an weiteren Server weitergeleitet werden (Bsp.: LDAP) RADIUS-Protokoll spezifiziert in RFC 2865 incl. EAP-Extension (RFC 3579)

31 RADIUS Im Falle von 802.1x als Transportprotokoll für EAP-Pakete UDP-Port 1812 RADIUS-Pakete nur per preshared Secret verschlüsselt – UNSICHER! EAP-Pakete per Messega-Authenticator- Attribut verschlüsselt (aber auch anfällig gegen Dictonary-Attacks)

32 RADIUS RADIUS-Kommunikation muss zusätzlich durch geeignete Methoden abgesichert werden Nachfolger von RADIUS momentan in Entwicklung -> DIAMETER

33 Probleme 802.1x bietet flexibles Baukastensystem Fehlkonfigurationen an einer Stelle gefährden das gesamte Sicherheitskonzept Die Authentifizierungskette ist nur so stark wie ihr schwächstes Glied!

34 Probleme 802.1x inkompatible Geräte schwer zu integrieren (IP-Telefone, Drucker) 802.1x Features entsprechender Hardware schlecht dokumentiert Gewisse Einarbeitungszeit in die Thematik notwendig Wake on LAN funktioniert nicht Viele Herstellerspezifische Zusätze zum Standard

35 Praktische Erfahrungen

36

37 Quellen [1] wlan.informatik.uni-rostock.de/literatur/downloads/ps/nww_1401.ps www.freeradius.net www.wireshark.org www.uni-koblenz.de/~steigner/seminar-wlan/4-feldmann.pdf security.hsr.ch/projects/SA_2005_WPA-EAP-TLS.pdf www.informatik.uni-hamburg.de/SVS/teaching/ss2005/seminar/Seminar_Radius.pdf www-wlan.uni-regensburg.de/8021x.html www.networksorcery.com/enp/default0901.htm (RFCs) www.networksorcery.com/enp/default0901.htm www.ietf.org/rfc.html de.wikipedia.org standards.ieee.org/getieee802/802.1.html (IEEE802.1x Standard) www.iks.hs- merseburg.de/~uheuert/pdf/Anwendung%20Rechnernetze/Vortraege/WS2005_06/Marco%20Fra ncke%20-%20IEEE802.1x%20Authentifizierung/IEEE802.1x%20(Marco%20Francke).pdf Abbildungen: 1. Screenshot WinXP Home Edition 2. Screenshot WinXp Home Edition 3. standards.ieee.org/getieee802/802.1.html 4. standards.ieee.org/getieee802/802.1.html 5. Sequenzdiagramm, erstellt mit Poseidon UML CE