Basic HTML-Version
Beispielhafte Anwendung des IEEE
802.1
X
Die folgende Beschreibung zeigt e i nen
mög l i c h e n F u n k t i o n s a b l a u f be i de r
Umse t zung des IEEE 802.1 x. Dabei l ie–
gen folgende An n a hme n zu Grunde: Es
soll mi t Hi l fe von Zer t i f i katen eine M a –
s c h i n e n - Au t h e n t i f i z i e r u n g d u r c h g e –
f üh r t we r den . Der Endanwende r w i r d
nicht e rneu t abge f ragt , sondern über
die nachfo l gende Anme l dung an den
Verze i chni sdi enst geprüf t . Die Schr i t t –
folge ist in der Abb i l dung „Ablauf" dar –
gestel l t .
sem Ze i t punk t keine Kommun i ka t i on
i m LAN du r ch f üh r en k a n n , w i r d das
Ze r t i f i ka t auf Basis l oka l er Kr i t e r i en
geprüf t . Der Radius-Server prüf t eben –
fal ls, ob das Zer t i f i kat des Endgerätes
korrekt und gül t ig ist.
Schritt 4
Nach er folgre i cher Ab f r age der Ze r t i –
f i kate we r den die Endge r ä t eda t en ge–
prüf t . Hierbei kann beispielsweise der
Fül l Qua l i f i ed Doma i n N ame (FQDN)
kont rol l ier t we r den . Der Radius-Server
erhä l t diese Da t en und gleicht sie über
LDAP ( L i gh twe i gh t D i r ec t o r y Access
Au t hen t i c a t i on
Se r v e r
V._®__^
Swi tch
Su p p l i c a n t
Au t hen t i ca t o r
mW
LDAP Server
Ablauf
Schr i t t 1
Das Endgerät w i r d über e inen Stecker
mi t dem LAN-Swi t ch in e i nem Bespre–
chungs r aum oder in e i nem Büro ver–
bunden .
Schr i t t 2
Das Endgerät w i r d e ingescha l tet und
der Sw i t c h e r k e n n t e i n e n „L i nk Up
Event" an se i nem Port. Der Swi tch-Por t
unter der Kontrol le von IEEE 802.1x ist
zu d i esem Ze i t punk t deak t i v i e r t und
e r l aub t ke ine Kommun i ka t i on mi t d em
LAN . Es we r d e n aussch l i eß l i ch EAP-
Pake t e a k z ep t i e r t , je nach S i t ua t i on
w i r d die EAP-Session du r ch den Sup–
pl i cant auf d em Endgerät oder dur ch
den Au t hen t i ca t o r au f d em LAN-Swi t ch
ini t i ier t . Ab d i esem Ze i t punk t w i r d die
EAP Session zwi schen Endgerät (Sup–
p l i c an t ) u n d Sw i t c h ( Au t hen t i c a t o r )
aufgebaut .
Schr i t t 3
Auf Basis von EAP-TLS we r den die Zer–
t i f i ka t e geprüf t . Z um e inen prüf t das
Endge r ä t das Z e r t i f i k a t des Rad i us -
Servers auf Kor rekthei t . Da es zu d i e -
Protocol ) mi t e i nem Verzeichnisdienst
ab.
Schr i t t 5
Die Abf rage des FQDN wa r er folgreich
u n d d i e Kommu n i k a t i o n des Sw i t c h -
Po r t s w i r d f r e i g e g e b e n . Z u s ä t z l i c h
k a n n de r R a d i u s - S e r v e r A u t o r i s i e -
r ungs i n f o rma t i onen mi t l i e f e rn . So ist
es e t wa mögl i ch, den LAN-Por t in ein
gewünscht es VLAN (Vi r tual Local Net –
work) zu versch i eben oder Kommun i –
ka t i onsbez i ehungen dur ch Access-Lis–
ten zu begr enzen .
Schritt
6
Das Endgerät durch l äuf t die we i t e r en
Pu n k t e des Boo t - Vo r gangs . Es w i r ä
z u m Beispiel per DHCP (Dynami c Host
Con f i gur a t i on Protocol ) e ine Ab f r age
gestel l t , die jetzt auch aus d em VLAN
bean two r t e t we r den kann .
Sol l te der Zugang des Endgerätes u n –
t e r b u n d e n w e r d e n , so s t e h e n z w e i
Mög l i chke i t en zur Ve r f ügung . En t we –
der kann das Zer t i f i kat des Endgerätes
für ungü l t i g e r k l ä r t we r d e n oder der
C omp u t e r A c c o u n t (FQDN) w i r d g e –
sper r t .
Schwachstellen und ihre Beseiti–
gung
Nach er folgre i cher Au t hen t i f i z i e r ung
v e r wa l t e t der LAN - Sw i t ch jedes End –
gerät über e ine Tabel le, in der die er–
f o l gr e i chen Au t h e n t i f i z i e r ung e n mi t
d e n MAC - A d r e s s e n ( M e d i a Access
Con t r o l ) des Endge r ä t e s h i n t e r l e g t
we r den . Ein Anwende r , der die Au t hen –
t i f i z i e r ung umgehen möch t e , könn t e
nun versuchen, die MAC-Adresse eines
Endgerätes zu übe r nehmen , das eine
er folgre i che Anme l d u n g du r ch l au f en
ha t . Um hier e i ne s t änd i ge Üb e r p r ü –
f ung zu e rmög l i chen , k ann ma n eine
„Reau t hen t i ca t i on " a k t i v i e r en , d i e in
de f i n i er t en Ze i t abs t änden zyk l i sch d i e
Anme l dung wi ederho l t und dami t das
En d g e r ä t e r n e u t a u f A u t h e n t i z i t ä t
prüf t .
Ei ne we i t e r e Sc hwa c h s t e l l e k ö n n t e
aus f o l gende r S i t ua t i on r e su l t i e r en :
Das Not ebook eines Außend i ens t -Mi t –
arbe i t ers w i r d auch p r i va t z u m „Sur–
f en i m I n t e r n e t " g e n u t z t . Da d i ese r
Mi t a r be i t e r nur in großen Ze i t abs t än –
den eine der Ni eder l assungen des Un –
t e r n e h m e n s b e s u c h t , w o d e r V i –
renscanner rege lmäß i g auf den neues–
t en St and gebracht w i r d , hat er in der
Zwi schenze i t ke i nen ak t ue l l en V i r en –
schut z . Theore t i sch könn t e das No t e –
book also nach drei Mona t en komp l e t t
mi t unterschi edl i chen V i r en verseucht
sein. We nn die Anme l dung in der Ni e–
de r l assung nun aus S i che r he i t sg r ün –
den auf Basis einer Anme l dung nach
IEEE 8 0 2 . I x e r f o l g t u n d e r f o l g r e i ch
durch l auf en w i r d , kann das Not ebook
mi t al l seinen Rechten im LAN der Ni e–
der lassung arbe i t en und auf diese We i –
se die mi t gebr ach t en Vi ren ver te i l en.
Genau in dieser Si tua t i on gre i fen die
Me chan i smen nach IEEE 802.1x nicht .
Aus di esem Grund we r den von vielen
Hers t e l l ern Funk t i ona l i t ä t en e r gänz t ,
die im Ra hme n der Anme l d u n g z u m
Beispiel den St and des V i r enscanne r s
ode r E i n t r agungen der Reg i s t r y des
Rechners p r ü f en . Im ob i gen Beispiel
wü r d e n diese Ansä t z e die Kommu n i –
ka t i on des Notebooks im LAN der Ni e-
dedassung un t e r b i nden und zunächs t
übe r e i ne Qu a r a n t ä n e - Z o n e e i n Up -
3 7 6 ^ ^ ,
ONTROILER