Extensible Authentication Protocol

Das in RFC 3748 und RFC 5247 beschriebene EAP stellt eine Erweiterung zum Point-to-Point-Protokoll (PPP, RFC 1661) dar, das bei Analogmodem-, ISDN- , GPRS-, UMTS- und DSL-Verbindungen zum Einsatz kommt. EAP ist aber nicht auf den Einsatz im LAN oder WAN (Internet-Zugang) beschränkt, man kann es genauso gut auch im WLAN einsetzen. EAP soll sicherstellen, dass die Nutzung einer PPP-Verbindung erst nach einer erfolgreich abgeschlossenen Authentifizierung möglich ist.

EAP ist ein recht schlichtes Protokoll: Es kennt lediglich Authentifizierungs-Requests respektive -Replies und arbeitet üblicherweise im Layer 2, auch wenn es nicht an eine bestimmte Schicht des OSI-Modells gebunden ist. Ein Authenticator fordert die Authentifizierung durch Versenden einer Anfrage an das mobile Gerät, das bei EAP Peer statt Supplicant heisst. Der Peer antwortet gemäss dem gewünschten Authentifizierungsverfahren (etwa MD5-Challenge oder One-Time Password) und wird gegebenenfalls als echt anerkannt.

Für die Verwendung im WLAN hat EAP allerdings gravierende Nachteile: Es überträgt den Nutzernamen im Klartext, was ungünstig ist, weil der Authentifizierungsprozess ja noch ohne Verschlüsselung abläuft. Ausserdem muss sich der Authenticator nicht gegenüber dem Peer authentifizieren, was ein Einfallstor für Man-in-the-Middle-Angriffe öffnet. Schliesslich unterstützt EAP keine dynamischen Schlüssel. Deshalb kann das ursprüngliche EAP im WLAN nicht zu mehr Sicherheit beitragen. Folglich haben sich andere, mehr oder weniger sichere Varianten durchgesetzt.




Lightweight EAP

LEAP ist eine von Cisco Systems entworfene EAP-Variante. Zwar legt Cisco keine Details offen, aber eine ausführliche Beschreibung des Protokolls auf Basis von Netzwerkanalysen wurde in einer Mailingliste veröffentlicht.

Das Prinzip ist simpel: Der Peer authentifiziert sich durch einen Challenge auf Basis eines Shared Secret, das sowohl der Peer als auch der Radius-Server kennen. Umgekehrt kann der Peer die Echtheit seines Authenticators über ein digitales Zertifikat überprüfen. LEAP ist aber anfällig für Wörterbuch-Attacken, wie Cisco selbst zugibt.


Der von Cisco vorangetriebene LEAP-Nachfolger EAP-FAST (Flexible Authentication via Secure Tunneling, RFC 4851) adressiert die bekannten Schwachstellen, schafft aber neue Angriffsmöglichkeiten.

« zurück 1 2 3 4 vor »