Seite 51 - 2007-04

CM 4/2007 Michael Simon / Günter Türl<cü

die Kommun i ka t i on des kont rol l i er ten

Endgerätes mi t Hi l fe des „Authent i ca -

tors" steuer t und l e t z t end l i ch den Zu –

gang edaub t oder verbietet .

Notwendige Protokolle

Die EAP-Fami l l e

Die Verb i ndung zv^ischen diesen Kom–

ponen t en lässt sich über Protokol le re–

al isieren. So w i r d zur Kommun i ka t i on

z w i s c h e n d e m Supp l i c an t u n d d em

Au t hen t i ca t or das Extens ibl e Au t hen -

t i ca t i on Protocol (EAP) e i ngese t z t . Es

h a n d e l t s i ch h i e r be i u m e i n r e i nes

La y e r - 2 - P r o t oko l l , das nu r au f d e m

Link zwi schen Suppl icant und Au t hen –

t icator genu t z t w i r d . Zu d i esem Zweck

ve rwende t das EAP-Protokol l als Zi e l –

adr esse d i e EAP Group Adr esse , d i e

no rma l e rwe i se von Layer - 2 -Swi t chen

nicht wei tergelei tet w i r d .

Die Protoko l l f ami l i e EAP enthä l t me h –

rere unterschi edl i che Beschreibungen

zu r Du r c h f ü h r u n g der Au t h e n t i f i z i e –

rung. Dam i t ent spr i cht sie d em S t an –

da r d IEEE 802.1X, in dessen Rahmen es

du r c h a u s mög l i ch ist , v e r s ch i edene

Ansä t ze zu ver folgen. Die Real isierung

nach EAP - MD5 e t wa e rmög l i ch t d i e

Au t h e n t i f i z i e r ung au f der Basis von

Benu t z e r namen und Passwör t e rn . Ei –

ne Al t erna t i ve stel lt die Konf igurat ion

nach EAP-TLS d a r Sie er forder t für die

Anme l dung eine Zer t i f i ka t s i nf ras t ruk –

tur. Die Anme l dung nach d em Ver f ah–

ren EAP-GTC setzt dagegen eine Token-

I nf ras t ruk tur voraus.

G r u n d s ä t z l i c h s o l l t e n E A P - D a t e n -

pake t e nur auf d em Layer -2-Link z w i –

schen z we i E n d s y s t eme n t r a n s po r –

t ier t we r den , e twa zwi schen e i nem PC

und d em zugehör igen Swi tch-Por t . Sie

sol l ten nicht durch Swi t che we i t e rge –

lei tet we r den . Bei verschi edenen Ne t z -

Designs ist aber die Te rmi n i e rung des

EAP - P r o t oko l l s - z u m Be i sp i e l au f

Sw i t c h e n in Vo l P - Te l e f onen ode r in

Mi n i - Swi t chen - nicht gewol l t . Die Ter–

mi n i e r ung ist also abhäng i g von der

Posi t ion des Au t hen t i ca t o r s im Ne t z –

we r k , zu d em d i e EAP - Da t e n p a k e t e

t r a n s p a r e n t we i t e r g e l e i t e t w e r d e n

so l l t en . Hi er h i l f t i m Zwe i f e l s f a l l d i e

Rückspr ache mi t d em Hers t e l l er der

LAN-Komponen t en .

Radius

Au c h d i e K ommu n i k a t i o n zw i s c h e n

Authent i ca tor und Au t hen t i ca t i on Ser–

ver er folgt über ein Protokol l mi t der

Beze i chnung Radius. Der Au t hen t i ca –

tor t e rmi n i e r t die EAP - Kommun i k a t i -

on mi t d em Suppl i cant und setzt die

I nha l t e für eine Rad i us - Kommun i ka t i –

on mi t d em Authent i ca t i on-Server um .

Der Radius-Server muss zur Real isie–

r ung der K ommu n i k a t i o n übe r EAP-

Ex t ens i ons ve r f ügen - e i ne An f o r de –

rung , die von den me i s t en Radius-Ser–

vern er fül l t w i r d .

Eine di rekte Kommun i ka t i on zwi schen

d em Supp l i can t (Endgerät ) und d em

Au t hen t i ca t i on Server (Radius-Dienst )

ist technisch nicht mögl ich und f indet

daher nur indi rekt über den Au t hen t i –

cator stat t . Sämt l i che Anme l d e d a t e n

müssen in e iner Da t e n b a n k gepf l egt

we r d e n , u m den An f o r de r ungen von

IEEE 802.1X z u genügen . Grundsä t z l i ch

ist es mögl i ch, diese I n f orma t i onen auf

d e m Ra d i u s - Se r v e r z u h i n t e r l e g e n .

EAP

-<

•

Rad i us

Authent i cator

Endgerat

Supp l i can t

Radius Server

Authent i cat i on

Server

,

Sestandtei/e

D a d u r c h w i r d der A u f w a n d f ür d i e

Pf l ege de r A n m e l d e d a t e n abe r ver –

doppe l t .

Aus di esem Grund we r den berei ts vor–

handene Ve r ze i chn i sd i ens t e im Ne t z

e i ngebunden , sodass der Au t hen t i ca –

t ion Server eine Abf rage z um Beispiel

über LDAP an einen Verzeichnisdienst

du r ch f üh r en k a n n . Du r ch d i esen A n –

sat z en t f ä l l t d i e doppe l t e Pf lege de r

Da t en . Möch t e ma n neben der Funk t i –

ona l i t ä t der Au t h e n t i f i z i e r u n g noch

die Autor i s i erung und das Account i ng

nu t zen , so sind we i tere Deta i l s bei der

Pl anung des Radius-Servers zu beach –

t en . In der IEEE 802.1 x sind beide Mö g –

l ichkei ten opt i ona l vorgesehen - es ist

al lerdings zu beach t en , dass sie nicht

von a l l en Kompon e n t e n un t e r s t ü t z t

und genu t z t we rden .

I m R a h m e n e i ne s IEEE 8 0 2 . 1 x - P r o -

jektes vers t eht ma n un t e r der Au t o r i –

sierung die Funk t i on , d em Au t hen t i ca –

tor ( LAN - Sw i t ch ) na ch e r f o l g r e i che r

Au t hen t i f i z i e rung noch we i t ere Da t en

mi t zugeben , die die Funkt ion des LAN-

Ports beeinf lussen. Hierbei kann z um

Beispiel die VLAN- Zuordnung des LAN-

Ports ve r ände r t und die Pr ior i tät (Qua-

l l t y of Se r v i ce ) be e i n f l us s t w e r d e n .

Auch das Ak t i v i e r en von Fi l ter rege ln

i m Sinne von Access-Listen kann u n –

t e r s t ü t z t we r d e n . Die IEEE 802.1 x b e –

schr e i b t h i e r f ü r den E i nsa t z von Ra –

d i us -At t r i but en zur Übe rgabe der not –

wend i gen I n f orma t i onen .

Das Accoun t i ng e rmög l i ch t das Sen –

den von Star t - und Stop-Records durch

den Authent i ca tor an den Au t hen t i ca –

t ion Server. In diesen Da t ensä t zen ver–

b e r g e n s i ch I n f o r ma t i o n e n w i e A n -

und Abme l deze i t en , Swi t ch - und Port-

I n f o r m a t i o n e n , M a c - A d r e s s e n u n d

e v e n t u e l l a u c h ü b e r t r a g e n e D a t e n –

vo l umi na .

Über die zur Real isierung des Projektes

z w i n g e n d e r f o r de r l i chen Komp o n e n –

ten Suppl icant , Authent i ca tor und Au –

t hen t i c a t i on Server h i naus ist es of t –

ma l s nö t i g , V e r z e i c h n i s - u n d Z e r t i –

f i katsdi enste im Ne t zwe r k au f zubauen

b zw . a n z u p a s s e n . Wä h r e n d e i n Ver –

zeichnisdienst die doppe l t e Pflege von

Anme l deda t en ve rme i den kann , ist ein

Zer t i f i ka t sd i ens t er forder l i ch, um das

EAP-TLS Ve r f ah r en zur Au t hen t i f i z i e –

rung z u nu t zen .

375