Authentifizierungsverfahren für Kabel- und Funknetze
Schon lange ist bekannt, dass der bei den ersten WLAN-Hardware-Generationen eingesetzte WEP-Mechanismus unbrauchbar ist. Deshalb wurde die WLAN-Verschlüsselung schnell verbessert: Die von der Herstellervereinigung Wi-Fi Alliance propagierten Verfahren WPA und WPA2 (Wi-Fi Protected Access) stellen eine Untermenge des verbesserten Sicherheitsstandards IEEE 802.11i dar, der in die WLAN-Norm 802.11-2007 übernommen wurde.
Allerdings hat inzwischen auch die bei WPA verwendete Verschlüsselungsmethode TKIP Schwächen offenbart. Selbst bei WPA2, das auf den als sicher geltenden AES-Algorithmus setzt, ist ein Wörterbuchangriff erfolg versprechend, wenn man das von allen WLAN-Nutzern gemeinsam verwendete WPA-Passwort zu simpel wählt.
Derlei Probleme kann man bei einer WLAN-Anmeldung mit individuellen Zugangsdaten (Username / Passwort-Kombination) oder per Zertifikat elegant umschiffen, was WPA2 praktischer weise unterstützt. Die Funktion heisst meist WPA2-Enterprise, WPA2-1x oder WPA2-802.1x. Sie erledigt sichere Authentifizierung beispielsweise gegen einen Radius-Server. Statt WPA2 heisst es bisweilen auch 802.11i. Dieser Beitrag gibt einen Überblick über die verschiedenen, damit möglichen Authentifizierungsmethoden.
Wozu 802.1X?
Ziel von 802.1X (IEEE Standard for Local and Metropolitan Area Networks – Port-Based Network Access Control) ist, ein sicheres Authentifizierungsverfahren für Geräte in einem Netzwerk zu implementieren. Seinen Kern bildet das ursprünglich für PPP-Verbindungen entwickelte Protokoll EAP (Extensible Authentication Protocol). Ferner wird die Zuordnung von Geräten zu einem VLAN ermöglicht, um beispielsweise unterschiedliche Dienste bereitzustellen. Derzeit entsteht eine Erweiterung des 2004 abgeschlossenen Standards.
Abhängig von der erfolgreichen Authentifizierung wird der Netzwerk-Zugang über einen bestimmten Port freigeschaltet. Dabei kann ein Port für den Standard ebenso gut der konkrete Anschluss an einem LAN-Switch wie auch die rein logische Assoziation eines mobilen Clients mit einem WLAN-Access-Point sein. Mitspieler eines solchen Authentifizierungssystems bei einem WLAN sind:
- der Supplicant (Antragsteller) oder Peer, ein mobiles Gerät, das Teilnehmer in einem Funknetz werden will,
- der Authenticator (Beglaubiger), ein Access Point, der als Mittelsmann zwischen Supplicant und Authentication Server agiert und
- ein Authentication Server als Dienst, der den Antrag eines Supplicants überprüft und seine Entscheidung dem Authenticator mitteilt.
Die Kommunikation zwischen Supplicant und Authenticator findet mit dem in 802.1X spezifizierten Extensible Authentication Protocol Over LAN (EAPOL) statt, die zwischen Authenticator und Authentication Server mit in Radius-Paketen gekapselten EAP-Paketen.
« zurück 1 2 3 4 vor »
