802_1x802.1x


Die portbasierte Authentifizierung wird durch den Standard IEEE 802.1x beschrieben.

Für die Identifikation jedes Teilnehmers ist dieser Standard einheitlich und damit unabhängig vom Netzwerktyp (Ethernet, logische VLANs, drahtlose Netzwerke).

Gerade die Technologie WLAN hat zur Verbreitung von 802.1x beigetragen und ist dort ein integraler Bestandteil der Infrastrukturkomponenten.

In drahtgebundenen Netzwerken hingegen sind marktreife Lösungen erst seit kurzem verfügbar.

Wie funktioniert 802.1x?

802.1_grafik


Der Abbildung sind die einzelnen Komponenten einer 802.1x-Umgebung zu entnehmen. Auf der linken Seite: der Teilnehmer (Supplicant), der sich über das „Extensible Authentication Protocol“ (EAP) an dem Gerät, das seinen Netzwerkzugang bereitstellt, ausweist.

Dies ist der sogenannte Authenticator, der die im EAP übergebenen Informationen an den Authentication Server weiterleitet.

Der Server greift auf eine Account-Datenbank zu, die nicht zwangsläufig von ihm selbst verwaltet werden muss, sondern in vielen Fällen auf bereits vorhandene Account-Informationen (Verzeichnisdienste) zurückgreifen kann.

Wenn ein Client (Supplicant) sich mit dem Netzwerk verbindet (Link-up), fragt der Switch (Authenticator) nach der Identität des Clients. Zu diesem Zeitpunkt ist nur eine Kommunikation zwischen Client und Switch möglich.

Der Zugang zum eigentlichen Netzwerk ist noch gesperrt.

Die Kommunikation zwischen Client und Switch erfolgt über das EAPoL (EAP over LAN) Protokoll, das auf der LLC-Ebene erfolgt.

Das EAP Protokoll selbst führt keinerlei Authentisierung durch; es dient nur dazu, einen standardisierten Authentisierungsvorgang zwischen dem Client und einem RADIUS-Authentisierungsserver zu ermöglichen. Welches Authentisierungsverfahren verwendet werden soll, können der Client und der Server vor der Durchführung der eigentlichen Authentisierung aushandeln.

Der Authentikator ist nur soweit an diesem Vorgang beteiligt, dass er die EAPoL-Nachrichten des Clients in RADIUS-Anfragen (Attribut/Value-Paare mit Hashberechnungen für Passwörter und Paketidentifikatoren) an die RADIUS-Authentisierungsserver weiterleitet.

Nach erfolgreicher Authentisierung öffnet der Authenticator dann den Netzzugang und der Client kann seinen normalen Netzstart (DHCP, Netzwerklogins, etc.) ausführen.

Zudem können über RADIUS Reply-Attribute - falls der Authenticator dies unterstützt - dem Benutzer bzw. Client bestimmte Netzwerkresourcen (Bandbreite, VLAN, Filter, etc.) zugeteilt werden.

Verwendet man TLS, TTLS oder PEAP als Authentisierungsverfahren, fällt für den WLAN-Zugang unter 802.11i als Nebenprodukt der Masterkey für den dynamischen Schlüsselaustausch zwischen dem Client und dem Accesspoint ab.

Die eigentliche Authentifizierung findet innerhalb des EAP statt. EAP selbst kann in zwei verschiedenen Formen eingesetzt werden, wobei sich am Markt fast ausnahmslos die einfache EAP-Variante nach RFC3748 findet. Innerhalb dieses Protokolls werden die eigentlichen Credentials mit dem gewählten Auth-Verfahren übertragen.

Je nach Übertragungsmedium liegt entweder EAPoW bei drahtlosen Netzwerken oder EAPoL bei drahtgebundenen Netzwerken vor.

In der Kommunikation zwischen dem Authenticator und dem Authentication Server werden die übergebenen Credentials in ein höheres Protokoll (in der Regel RADIUS) überführt.

Je nach Protokolltyp zwischen dem Client und dem RADIUS-Server ist auch eine End-to-End-Verschlüsselung innerhalb des EAP gewährleistet.

Damit ein Client im Netzwerk überhaupt in eine solche Authentifizierungsinfrastruktur eingebunden werden kann, muß er über die entsprechende 802.1x-Supplicant-Funktionalität verfügen.

In erster Linie sind das die Betriebssysteme der Clients und Server im Netzwerk, aber auch andere Komponenten wie Drucker, IP-Telefone, IP-Kameras, NAS-Systeme, Zeiterfassungssysteme oder Zutrittskontrollsysteme müssen diese Funktion bereitstellen.

Für die aktiven Netzwerkkomponenten ist ebenfalls eine durchgängige 802.1x-Authenticator-Funktionalität erforderlich, die je nach gewünschter Flexibilität für die Administration weitere Features notwendig macht.

Das Backend dieser Zugangskontrolle muss ebenfalls einige Voraussetzungen erfüllen, wie beispielsweise die Anbindung an bestehende Accountdatenbanken und natürlich die Verfügbarkeit.

Die flächendeckende Einführung einer 802.1x-Umgebung gestaltet sich komplex, da jeder Netzwerkteilnehmer und jeder Port in das Konzept eingebunden werden muss. Daher ist 802.1x auch kein „Produkt von der Stange“, sondern ein individuelles Projekt für jedes Netzwerk. In unseren Implementierungen verfahren wir dabei nach folgendem, mehrstufigen Projektplan:

 

  1. Bestandsaufnahme aktiver Komponenten
  2. Bestandsaufnahme Teilnehmer
  3. Identifizierung nicht 802.1x-fähiger Komponenten
  4. Upgradebestimmung der aktiven Komponenten
  5. Festlegung Authentifizierungsparameter
  6. Auswahl der benötigten Softwarekomponenten
  7. Planung AAA-Infrastruktur
  8. Entwurf des VLAN-Konzepts
  9. Implementierung AAA-Infrastruktur
  10. Pilotphase mit definierten Teilnehmern
  11. Beurteilung der Pilotphase
  12. Rollout

 

Bevor also die eigentliche AAA-Struktur betrachtet wird, werden zuerst die Problemfälle im Netzwerk identifiziert und in der Projektplanung besonders beachtet. Dazu zählen unter anderem:

 

  • Aktive Komponenten (Funktionsdefizite, Firmwarestand)
  • Nicht 802.1x-fähige Endgeräte (Drucker, IP-Telefone, IP-Kameras, NAS-Systeme, Zeiterfassungssysteme, Zutrittskontrollsysteme, etc.)
  • WoL-Umgebungen
  • PXE-Boot-Umgebungen
  • „that old DOS PC running some ancient, creaky, totally unsupportable yet mission-critical application“

 

Alle diese Problemfälle müssen bei einer durchgängigen 802.1x-Implementierung bedacht und entsprechend behandelt werden, wobei streng genommen nur der Austausch gegen 802.1x-fähige Komponenten möglich ist.

Dadurch können trotz einer modernen 802.1x-fähigen Netzinfrastruktur hohe Folgekosten entstehen. Dieses Problem ist aber von einigen Herstellern bereits gelöst worden, um dennoch flächendeckende Portauthentifizierung ohne den Tausch von Endgeräten zu ermöglichen.

So ist es in der Regel möglich, bei fehlender Endgerätefunktionalität mit MAC-Authentication-Bypass zumindest den Netzwerkzugang anhand der MAC-Adresse zu ermöglichen.

Eine weitere Schwierigkeit ist der Betrieb von mehreren Endgeräten an einem 802.1x-Port. Hier kann ein bereits authentifizierter Port als Zugang für weitere Systeme (beispielsweise über Miniswitches) dienen.

Einige Hersteller lösen diese Fragestellung über „Multi-Device Port Authentication“, wo jedem Netzteilnehmer aufgrund seiner MAC-Adresse zunächst ein virtueller Ethernetport zugewiesen wird und erst nach Authentifizierung an diesem die Zuordnung in ein gewünschtes VLAN erfolgt.

Alternativen

802.1x bietet einem Netzwerk ein sehr hohes Schutzniveau vor unerwünschten Teilnehmern und ermöglicht eine flexible Netzwerkstruktur in Verbindung mit durchdachten VLAN-Zuordnungen.

Dennoch ist die Umsetzung eines solchen Konzepts mit hohem Aufwand und je nach vorhandenen Netzwerkkomponenten auch mit entsprechenden Investitionskosten verbunden.

Wenn wir die Fragestellung „Wer will an meinem Netzwerk teilnehmen“ unabhängig von der starken Authentifizierung wie bei 802.1x betrachten, bietet sich für jeden Netzteilnehmer seine einzigartige MAC-Adresse an.

Anhand dieser Adresse lassen sich ebenfalls unerwünschte Teilnehmer identifizieren und dynamische VLAN-Zuordnungen einteilen.

Das Stichwort „dynamisch“ verbietet in der Regel schon die Pflege von MAC-Adressen auf Switchen, da hier statische und nur schwer zu verwaltende Zuordnungen getroffen werden.

Hingegen können Produkte wie AixBOMS SVLAN Server, Mikado Macmon und ISL ARP Guard über das SNMP-Management von Switchen genau diese Forderungen abbilden.
 
© magellan netzwerke GmbH | Max-Reichpietsch-Straße 2 | 51147 Köln | Deutschland | Tel: +49 2203.92263-0 | Fax: +49 2203.92263-99