802.1X: Was genau ist das in Bezug auf WPA und EAP?


19

Ich verstehe 802.1X als eine Art Port-Authentifizierungskontrolle. Als ich jedoch die Verschlüsselungseinstellungen für mein WLAN überprüfte, fand ich 802.1X in einer Dropdown-Liste zusammen mit WPA2, WPA und WEP, aber ich sehe keine Alternative für diese.

Könnte bitte jemand dem Laien erklären, wie 802.1X passt, vielleicht auch in Bezug auf das EAP-Protokoll? Alles, was ich weiß, ist, dass 802.1X zwei logische Port-Entitäten für jeden physischen Port bereitstellt. Eine davon dient der Authentifizierung und die andere dient dem Fluss der eigentlichen EAP-Nachrichten.

Antworten:


38

Am ehesten kann ich es mit den Begriffen von Laien machen, die der Einfachheit halber leicht vereinfacht und auf WPA2 beschränkt sind:

802.1X ist KEIN Verschlüsselungstyp. Dies ist im Grunde genommen nur ein Authentifizierungsmechanismus pro Benutzer (z. B. Benutzername und Passwort).

WPA2 ist ein Sicherheitsschema, das zwei Hauptaspekte Ihrer drahtlosen Sicherheit festlegt:

  • Authentifizierung: Sie können zwischen PSK ("Personal") und 802.1X ("Enterprise") wählen.
  • Verschlüsselung: Immer AES-CCMP.

Wenn Sie WPA2-Sicherheit in Ihrem Netzwerk verwenden, haben Sie zwei Authentifizierungsoptionen: Sie müssen entweder ein einziges Kennwort für das gesamte Netzwerk verwenden, das jeder kennt (dies wird als Pre-Shared Key oder PSK bezeichnet), oder Sie verwenden 802.1X um jeden Benutzer zu zwingen, seine eigenen Anmeldeinformationen (z. B. Benutzername und Passwort) zu verwenden.

Unabhängig davon, für welchen Authentifizierungstyp Sie Ihr Netzwerk eingerichtet haben, verwendet WPA2 immer ein Schema namens AES-CCMP, um Ihre Daten aus Gründen der Vertraulichkeit drahtlos zu verschlüsseln und verschiedene andere Arten von Angriffen zu verhindern.

802.1X ist "EAP over LANs" oder EAPoL. EAP steht für "Extensible Authentication Protocol", was bedeutet, dass es sich um ein Plug-In-Schema für verschiedene Authentifizierungsmethoden handelt. Einige Beispiele:

  • Möchten Sie Ihre Benutzer mit Benutzernamen und Kennwörtern authentifizieren? Dann ist "PEAP" ein guter EAP-Typ.
  • Möchten Sie Ihre Benutzer über Zertifikate authentifizieren? Dann ist "EAP-TLS" ein guter EAP-Typ.
  • Sind die Geräte in Ihrem Netzwerk alle GSM-Smartphones mit SIM-Karten? Anschließend können Sie mit "EAP-SIM" eine Authentifizierung im GSM-SIM-Kartenstil durchführen, um in Ihr Netzwerk zu gelangen. usw. usw.

Wenn Sie Ihren WLAN-Router für die Verwendung von 802.1X einrichten, muss er eine Möglichkeit haben, Ihre Benutzer über einen EAP-Typ zu authentifizieren. Einige Router haben möglicherweise die Möglichkeit, eine Liste von Benutzernamen und Kennwörtern direkt auf dem Router einzugeben, und der Router weiß, wie die gesamte Authentifizierung von alleine durchgeführt wird. Für die meisten wird es jedoch wahrscheinlich erforderlich sein, RADIUS zu konfigurieren. RADIUS ist ein Protokoll, mit dem Sie Ihren Benutzernamen und Ihr Kennwort auf einem zentralen Server speichern können, sodass Sie nicht jedes Mal Änderungen an jedem einzelnen WLAN-Router vornehmen müssen, wenn Sie einen Benutzer hinzufügen oder löschen oder ein Benutzer sein Kennwort oder etwas anderes ändert. WLAN-Router, die 802.1X verwenden, können Benutzer im Allgemeinen nicht direkt authentifizieren. Sie können lediglich ein Gateway zwischen 802.1X und RADIUS einrichten, sodass die WLAN-Client-Computer tatsächlich von einem RADIUS-Server im Netzwerk authentifiziert werden.

Wenn die Benutzeroberfläche Ihres drahtlosen Routers "802.1X" in einer Liste von Verschlüsselungstypen enthält , bedeutet dies wahrscheinlich "802.1X mit dynamischem WEP", ein altes Schema, bei dem 802.1X für die Authentifizierung verwendet wird, und pro Benutzer und Sitzung WEP-Schlüssel werden im Rahmen des Authentifizierungsprozesses dynamisch generiert, und somit ist WEP letztendlich die verwendete Verschlüsselungsmethode.

Update re: zwei logische Ports

Um Ihre Frage zu zwei logischen Port-Entitäten zu beantworten, gibt es in der 802.1X-Spezifikation zwei separate Konzepte, auf die Sie sich möglicherweise beziehen.

Zunächst definiert die 802.1X-Spezifikation Client- und Serverrollen für das 802.1X-Protokoll, nennt sie jedoch Supplicant bzw. Authenticator. In Ihrem WLAN-Client oder Ihrem WLAN-Router befindet sich eine Software, die die Rolle des 802.1X-Supplicants oder -Authentikators übernimmt. Diese Software, die diese Rolle ausführt, wird von der Spezifikation als Port Access Entity oder PAE bezeichnet.

Zweitens wird in der Spezifikation erwähnt, dass Ihre 802.1X Supplicant-Software beispielsweise auf Ihrem drahtlosen Client-Computer auf Ihre drahtlose Schnittstelle zugreifen kann, um EAP-Pakete zu senden und zu empfangen, um die Authentifizierung durchzuführen, auch wenn keine andere Netzwerksoftware aktiviert ist Ihr System darf die drahtlose Schnittstelle noch verwenden (da die Netzwerkschnittstelle erst dann als vertrauenswürdig eingestuft wird, wenn sie authentifiziert wurde). In der seltsamen technischen Gesetzgebung der IEEE-Spezifikationsdokumente heißt es, dass es einen logischen "unkontrollierten Port" gibt, an den sich die 802.1X-Clientsoftware anschließt, und einen "kontrollierten Port", an den sich der Rest des Netzwerkstapels anschließt. Wenn Sie zum ersten Mal versuchen, eine Verbindung zu einem 802.1X-Netzwerk herzustellen, wird nur der unkontrollierte Port aktiviert, während der 802.1X-Client seine Aufgabe erfüllt. Sobald die Verbindung authentifiziert wurde (und beispielsweise

Lange Antwort, weniger für Laien:
IEEE 802.1X ist eine Möglichkeit, die Authentifizierung pro Benutzer oder pro Gerät für kabelgebundene oder kabellose Ethernet-LANs (und möglicherweise andere Netzwerkschemata in der IEEE 802-Familie) durchzuführen. Es wurde ursprünglich für kabelgebundene Ethernet-Netzwerke entwickelt und bereitgestellt und später von der IEEE 802.11 (Wireless LAN) -Arbeitsgruppe als Teil des 802.11i-Sicherheitszusatzes zu 802.11 als benutzerspezifische oder gerätebezogene Authentifizierungsmethode übernommen für 802.11-Netzwerke.

Wenn Sie die 802.1X-Authentifizierung in Ihrem WPA- oder WPA2-Netzwerk verwenden, verwenden Sie weiterhin WPA- oder WPA2-Geheimhaltungscodes und Nachrichtenintegritätsalgorithmen. Das heißt, im Fall von WPA verwenden Sie weiterhin TKIP als Ihre Vertraulichkeitsverschlüsselung und MIChael als Ihre Nachrichtenintegritätsprüfung. Im Fall von WPA2 verwenden Sie AES-CCMP, bei dem es sich sowohl um eine Vertraulichkeitsverschlüsselung als auch um eine Überprüfung der Nachrichtenintegrität handelt.

Der Unterschied bei Verwendung von 802.1X besteht darin, dass Sie keinen netzwerkweiten Pre-Shared Key (PSK) mehr verwenden. Da Sie nicht für alle Geräte ein einziges PSK verwenden, ist der Datenverkehr auf jedem Gerät sicherer. Wenn Sie mit PSK die PSK kennen und den Schlüssel-Handshake erfassen, wenn ein Gerät dem Netzwerk beitritt, können Sie den gesamten Datenverkehr dieses Geräts entschlüsseln. Bei 802.1X generiert der Authentifizierungsprozess jedoch auf sichere Weise Schlüsselmaterial, mit dem ein eindeutiger Pairwise Master Key (PMK) für die Verbindung erstellt wird, sodass ein Benutzer den Datenverkehr eines anderen Benutzers nicht entschlüsseln kann.

802.1X basiert auf EAP, dem Extensible Authentication Protocol, das ursprünglich für PPP entwickelt wurde, und wird in VPN-Lösungen, die PPP innerhalb des verschlüsselten Tunnels verwenden (LT2P-over-IPSec, PPTP usw.), immer noch in großem Umfang verwendet. Tatsächlich wird 802.1X im Allgemeinen als "EAP over LANs" oder "EAPoL" bezeichnet.

EAP bietet einen generischen Mechanismus zum Transportieren von Authentifizierungsnachrichten (Authentifizierungsanforderungen, Herausforderungen, Antworten, Erfolgsmeldungen usw.), ohne dass die EAP-Schicht die Details der jeweils verwendeten Authentifizierungsmethode kennen muss. Es gibt eine Reihe verschiedener "EAP-Typen" (Authentifizierungsmechanismen, die für das Einstecken in EAP entwickelt wurden) für die Authentifizierung über Benutzername und Passwort, Zertifikate, Token-Karten und mehr.

Aufgrund der Geschichte von EAP mit PPP und VPN war es immer einfach, ein Gateway zu RADIUS zu erstellen. Aus diesem Grund ist es typisch (aber technisch nicht erforderlich), dass 802.11-APs, die 802.1X unterstützen, einen RADIUS-Client enthalten. Daher kennen APs in der Regel weder den Benutzernamen noch das Kennwort eines anderen Benutzers oder wissen gar nicht, wie verschiedene EAP-Authentifizierungstypen verarbeitet werden. Sie wissen lediglich, wie eine generische EAP-Nachricht von 802.1X aufgenommen und in eine RADIUS-Nachricht umgewandelt und an den RADIUS-Server weitergeleitet wird . Der AP ist also nur ein Kanal für die Authentifizierung und keine Partei. Die tatsächlichen Endpunkte der Authentifizierung sind normalerweise der drahtlose Client und der RADIUS-Server (oder ein Upstream-Authentifizierungsserver, zu dem der RADIUS-Server ein Gateway erstellt).

Mehr Verlauf, als Sie wissen wollten: Bei der ersten Erstellung von 802.11 wurde als einzige Authentifizierungsmethode eine Authentifizierung mit gemeinsamem Schlüssel unter Verwendung von 40- oder 104-Bit-WEP-Schlüsseln unterstützt, und WEP war auf vier Schlüssel pro Netzwerk beschränkt. Alle Benutzer oder Geräte, die eine Verbindung zu Ihrem Netzwerk herstellen, mussten einen der 4 Kurztasten für das Netzwerk kennen, um einsteigen zu können. Es gab im Standard keine Möglichkeit, jeden Benutzer oder jedes Gerät separat zu authentifizieren. Die Art und Weise, wie die Authentifizierung mit gemeinsamem Schlüssel durchgeführt wurde, ermöglichte auch einfache "Offline-Oracle" -Angriffe mit Brute-Force-Schlüsselraten.

Viele Anbieter von 802.11-Geräten der Enterprise-Klasse haben erkannt, dass die Authentifizierung pro Benutzer (dh Benutzername und Kennwort oder Benutzerzertifikat) oder pro Gerät (Computerzertifikat) erforderlich ist, um 802.11 auf dem Enterprise-Markt erfolgreich zu machen. Obwohl 802.1X noch nicht ganz fertig war, hat Cisco eine Entwurfsversion von 802.1X verwendet, diese auf einen EAP-Typ (eine Form von EAP-MSCHAPv2) beschränkt, dynamische WEP-Schlüssel pro Gerät und Sitzung generiert und erstellt was sie "Lightweight EAP" oder LEAP nannten. Andere Anbieter haben ähnliche Dinge getan, jedoch mit klobigeren Namen wie "802.1X mit dynamischem WEP".

Die Wi-Fi Alliance (geb. die Wireless Ethernet Compatibility Alliance oder "WECA") erkannte, dass der verdienstlich schlechte Vertreter von WEP auftauchte, und sah die Fragmentierung des Sicherheitsschemas in der Branche, konnte aber nicht warten, bis die IEEE 802.11-Arbeitsgruppe fertig war Durch die Übernahme von 802.1X in 802.11i hat die Wi-Fi Alliance den Wi-Fi Protected Access (WPA) erstellt, um einen interoperablen herstellerübergreifenden Standard für die Behebung der Fehler in WEP als Vertraulichkeitsverschlüsselung zu definieren (wodurch TKIP als Ersatz für diese Fehler erstellt wird) in der WEP-basierten Authentifizierung mit gemeinsamem Schlüssel (Erstellen von WPA-PSK als Ersatz) und Bereitstellen einer Möglichkeit, 802.1X für die Authentifizierung pro Benutzer oder pro Gerät zu verwenden.

Dann beendete die IEEE 802.11i-Taskgruppe ihre Arbeit, wählte AES-CCMP als Geheimhaltungsschlüssel der Zukunft und übernahm 802.1X mit bestimmten Einschränkungen, um die Sicherheit in drahtlosen Netzwerken für die Authentifizierung pro Benutzer und pro Gerät für 802.11 zu gewährleisten WLANs. Im Gegenzug hat die Wi-Fi Alliance WPA2 entwickelt, um die Interoperabilität zwischen 802.11i-Implementierungen zu zertifizieren. (Die Wi-Fi Alliance ist in der Tat eine Interop-Zertifizierungs- und Marketingorganisation und lässt das IEEE oft lieber als die eigentliche Einrichtung für WLAN-Standards gelten. Wenn das IEEE jedoch zu verdeckt ist und sich für die Branche nicht schnell genug bewegt, wird das Wi- Fi Alliance wird im Vorfeld der IEEE Standard-artige Arbeit leisten und sich dann in der Regel dem entsprechenden IEEE-Standard widersetzen, sobald dieser später veröffentlicht wird.)


Hey spiff, könnten Sie den Teil, den ich über das Erstellen von zwei logischen Ports mit 802.1x gelesen habe, mit Ihrer Laienantwort verknüpfen? Vielen Dank
Jason

3
@ Jason Okay, aktualisiert. Übrigens ist 802.1X eine eigenständige Spezifikation (kein Nachtrag zu einer anderen Spezifikation). In IEEE-Namenskonventionen wird daher ein Großbuchstabe verwendet. Es ist also 802.1X, nicht 802.1x. Wenn Sie eine Dokumentation oder einen Artikel sehen, bei dem dies falsch ist, nehmen Sie dies als Zeichen von Schlamperei und Unaufmerksamkeit für Details und lassen Sie dies beeinflussen, wie viel Vertrauen Sie in diese Dokumentation oder diesen Artikel setzen.
Spiff

WPA2 / Enterprise ist also AES-Verschlüsselung und 802.1X ist WEP-Verschlüsselung. Obwohl beide 802.1X für die Authentifizierung verwenden. Sehr gründlich dokumentiert mit etwas Geschichte dahinter. Vielen Dank @Spiff, ich wünschte, ich könnte zweimal stimmen.
Brain2000

@ Brain2000. Vorsicht, Ihre vereinfachte Neuformulierung ist sehr irreführend. Es kann sein, dass einige APs beschissene Benutzeroberflächen haben, die irreführend nur "802.1X" sagen, wenn sie wirklich "802.1X mit dynamischem WEP" bedeuten. Bei 802.1X handelt es sich jedoch um ein erweiterbares Authentifizierungsprotokoll für LANs, das nicht spezifisch für 802.11 ist, geschweige denn für WEP.
Spiff

@Spiff Sie haben Recht, es ist eine beschissene Benutzeroberfläche, die "WPA2 / Enterprise" und "802.1X" in derselben Dropdown-Liste anzeigt. Das ist schließlich das Thema dieser ganzen Frage. Also, ja, ich denke, was ich geschrieben habe, ist genau das, was ich schreiben wollte. Es ist keine Vereinfachung. Es ist eine beschissene Benutzeroberfläche, wie Sie sagen.
Brain2000
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.