Arbeitskreis Security

Ähnliche Dokumente
IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

IEEE 802.1x Erfahrungsbericht aus der Fraunhofergesellschaft

Sicherer Netzzugang im Wlan

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

HowTo: Einrichtung & Management von APs mittels des DWC-1000

Grundvoraussetzung: Windows XP mit Servicepack 3 (SP3) Arbeitsplatz rechter Mouseklick Eigenschaften

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm

Anleitung zur Nutzung des SharePort Utility

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Black Box erklärt: Sicherheit nach IEEE 802.1x?

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

eduroam

Download unter:

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

INTERNETZUGANG UND DATENBANKEN IM ZRS

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

WLAN Konfiguration. Michael Bukreus Seite 1

Clientkonfiguration für Hosted Exchange 2010

WLAN mit WPA (wpa4fh)

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

FTP-Leitfaden RZ. Benutzerleitfaden

Sicherheit in Enterprise-Netzen durch den Einsatz von 802.1X

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Collax PPTP-VPN. Howto

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Windows Server 2008 für die RADIUS-Authentisierung einrichten

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Userguide: WLAN Nutzung an der FHH Hannover Fakultät V

GeoPilot (Android) die App

WLAN MUW-NET Howto für Windows XP SP2, SP3

Wireless & Management

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

WLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7

Zunächst müssen sie die MAC-Adresse ihres Gerätes für WLAN registrieren. 2. Die MAC Adresse (physikalische Adresse des WLAN) wird mit dem Befehl:

Nutzerauthentifizierung mit 802.1X. Torsten Kersting

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Anleitung zur Nutzung des SharePort Plus

Exchange-Server - Outlook 2003 einrichten. 1. Konfiguration Outlook 2003 mit MAPI. Anleitung: Stand:

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

-Verschlüsselung mit Geschäftspartnern

Step by Step VPN unter Windows Server von Christian Bartl

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Man liest sich: POP3/IMAP

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Anleitung zur Einrichtung des WDS / WDS with AP Modus

OP-LOG

Schritt-für-Schritt-Anleitung WDS mit FRITZ!Box WLAN

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

SharePoint Demonstration

Multimedia und Datenkommunikation

Übung - Konfigurieren einer Windows 7-Firewall

WLAN MUW-NET Howto für Windows Vista

eduroam mit SecureW2 unter Windows 7 Stand: 27. Januar 2015

i-tec USB 3.0 Gigabit Ethernet Adapter Gebrauchsanweisung

Virtual Private Network

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

Fax einrichten auf Windows XP-PC

Drahtlosnetzwerke automatisch konfigurieren mit WCN (Windows Connect Now) unter Windows Vista

Wireless LAN Installation Windows XP

MSDE 2000 mit Service Pack 3a

TeamSpeak3 Einrichten

LabView7Express Gerätesteuerung über LAN in einer Client-Serverkonfiguration. 1. Steuerung eines VI über LAN

Windows 8 Lizenzierung in Szenarien

Anforderungen an die HIS

Updatehinweise für die Version forma 5.5.5

WLAN eduroam Howto für Windows XP SP2, SP3

Installation OMNIKEY 3121 USB

Clients in einer Windows Domäne für WSUS konfigurieren

WLAN für Fremdgeräte

UserManual. Handbuch zur Konfiguration einer FRITZ!Box. Autor: Version: Hansruedi Steiner 2.0, November 2014

Zertifikate Radius 50

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Machen Sie Ihr Zuhause fit für die

Formular»Fragenkatalog BIM-Server«

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Virtual Private Network

System-Update Addendum

Switching. Übung 7 Spanning Tree. 7.1 Szenario

Installation des COM Port Redirectors

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

VPN/WLAN an der Universität Freiburg

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Windows Server 2008 (R2): Anwendungsplattform

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

Übung - Konfigurieren einer Windows-XP-Firewall

Transkript:

Arbeitskreis Security Positionspapier IEEE 802.1X BGNW Herbsttagung, 25. November 2005 Inhalt IEEE 802.1X im Überblick Problembereiche Standpunkt 1

Status von IEEE 802.1X Grundprinzip von IEEE 802.1X Dem Port eines Systems (Endgerät oder Switch) können zwei unterschiedliche Rollen zugeordnet werden: : Dieser Port verlangt eine Authentifizierung, bevor er den Zugang zu einem Dienst erlaubt, der über diesen Port erreicht werden kann Supplicant: Dieser Port möchte den Zugang zu einem Dienst erlangen, der vom System des s angeboten wird Zugang blockieren bzw. frei schalten Access Point LAN Supplicant (W)LAN- Verbindung 2

Grundprinzip von IEEE 802.1X Komponente als Bestandteil des Betriebssystems (Native Supplicant) oder als separate Software Funktion des Switches bzw. Access Points Zugang blockieren bzw. frei schalten Access Point LAN Supplicant (W)LAN- Verbindung Grundprinzip von IEEE 802.1X Vollständiger Authentifikationsablauf durch Authentication : Bietet für notwendige Authentifizierungsfunktion, um Login-Daten des Supplicant zu überprüfen. Zeigt an, ob Supplicant autorisiert ist, Zugang zu dem über den angebotenen Dienst zu erlangen. Access Point Supplicant Authentication 3

Protokolle Access Point Supplicant angebotener Dienst EAP over LAN (EAPOL) Authentication EAP (z.b. via RADIUS) Directory Service (Nutzerverwaltung) (W)LAN Zugang blockieren bzw. frei schalten Torwächter-Prinzip auf Layer 2 Basis ist das Extensible Authentication Protocol (EAP) Wirkkette vom Client bis tief in die Infrastruktur hinein Nutzung von EAP bei 802.1X Austausch der Authentifizierungsinformationen erfolgt über EAP RFC3748 (vormals RFC2284) TLS PEAP TTLS... Authentication Layer Extensible Authentication Protocol (EAP) EAP Over Lan (EAPOL) EAP Layer EAPOL = Portierung von EAP aus PPP- Welt die Layer-2- Welt der LAN PPP 802.3 Ethernet 802.11 WLAN Data Link Layer 4

Zugang blockiert Supplicant Client EAPOL-Start 802.11 Association AP EAPOL-Packet( EAP-Request/Identity) Internes Netzwerk Authentication Beispiel 802.1X im WLAN Zugang erlaubt Zugang blockiert EAPOL-Packet( EAP-Response/Identity) EAPOL-Packet(EAP-Request) EAPOL-Packet( EAP-Response/Credentials) EAPOL-Packet(EAP-Success)... EAPOL-Logoff EAPOL-Key(Schlüsselinfo.) EAP over LAN (EAPOL) RADIUS-Access-Request( EAP-Response/Identity) RADIUS-Access-Challenge( EAP-Request) RADIUS-Access-Request( EAP-Response) RADIUS-Access-Accept( EAP-Accept) RADIUS-Access-Accept( "MS-MPPE-Recv-Key") Encapsulated EAP (z.b. via RADIUS) Supplicant Client AP Internes Netzwerk Authentication Identity Request Identity EAP-TLS(TLS Start) Identity EAP-TLS(TLS Start) Ablauf einer Authentifizierung mit EAP-TLS Client Hello Client Hello Hello Hello Certificate + Certificate Request Certificate + Key Exchange + Certificate Verify Certificate + Certificate Request Certificate + Key Exchange + Certificate Verify TLS Finished Success TLS Finished Access-Accept EAP over LAN (EAPOL) Encapsulated EAP (z.b. via RADIUS) 5

Geräte- vs. Nutzerauthentifizierung Hier machen IEEE 802.1X und EAP (noch) keinen Unterschied Betrifft Supplicant und Authentication ; transparent für Entscheidend ist zunächst, wann ein Gerät auf das Netz zugreifen muss Wenn Zugriff erforderlich, bevor Nutzer angemeldet ist, kommt zunächst nur Geräte-Authentifizierung in Frage Ist ein Wechsel zwischen beiden Typen (erst das Gerät, dann der Nutzer) möglich? Nicht im aktuellen Standard festgeschrieben Aber auch nicht ausgeschlossen Umsetzung durch Reauthentication Reauthentication-Intervall beachten Je nach Supplicant: Entweder-Oder -Entscheidung Roaming bei IEEE 802.1X Primär abhängig von der Frage, ob Benutzerverwaltung auf Authentication oder in einem nachgelagerten Directory geschieht Falls Benutzerverwaltung auf Authentication (RADIUS) Analoge Situation, wie bei MAC-Adress-Authentifizierung Falls Benutzerverwaltung im Directory Unternehmensweiter Directory Service löst Roaming-Problem en passant Authentication Client XXX LAN Standort A Directory... Eintrag für XXX... Client XXX LAN Standort B Authentication 6

Produktsituation IEEE 802.1X wird von nahezu jedem Hersteller von Switches und RADIUS-n unterstützt. Auf Client-Seite sind die meisten modernen Betriebssysteme von Windows XP bis zu Linux kompatibel. Vitale Open-Source-Szene (Supplicant & Authentication ) Inzwischen wird sogar eine Palette von Mehrwert-Diensten, die auf IEEE 802.1X basieren, von den Herstellern von Sicherheitslösungen angeboten. Zugangskontrolle in Abhängigkeit der Client-Konfiguration Authentifizierungsdaten via EAP via RADIUS Zugangsberechtigung je nach Ergebnis Authentifizierung und Prüfung der Client-Konfig. RADIUS Prüfung Authentifizierungsdaten RADIUS Proxy Client XXX Prüfung Client-Konfig. Authentifizierungsdaten + "f(client-konfig.)" via EAPOL Authentifizierungsdaten + "f(client-konfig.)" via EAP via RADIUS Herstellerspezifisch 7

IEEE 802.1X in der Praxis In WLAN nach IEEE 802.11 kommt man inzwischen an IEEE 802.1X nicht mehr vorbei. IEEE 802.1X wird in den relevanten Spezifikationen zur WLAN-Sicherheit (WPA, WPA2 bzw. IEEE 802.11i) für die Authentifizierung der WLAN-Clients und für das Schlüsselmanagement genutzt. IEEE 802.1X in der Praxis Leider führt IEEE 802.1X im Bereich der kabelbasierten LAN ein Schattendasein und ist in der Praxis (zumindest für größere LAN) noch kaum zu finden. Viele Piloten aber wenige produktive Einsätze Dies ist umso erstaunlicher, da die Anforderung eines sicheren Zugangs genauso für das kabelbasierte LAN gilt und es derzeit keine Alternative zu IEEE 802.1X gibt. Wo liegt der Grund für die Zurückhaltung der kabelbasierten LAN-Gemeinde? 8

Problembereiche Für die noch weit verbreiteten Versionen Windows 2000, Windows NT und andere ältere Betriebsysteme gibt es massive technische Probleme bei der Unterstützung von IEEE 802.1X. Für diverse Systeme ist gar kein Supplicant verfügbar (z.b. DOS PCs und diverse Kleingeräte, wie Drucker, Kameras und Barcode Scanner oder auch die Controller in der Industrieautomatisierung). Diese Situation besteht nicht nur für ältere Systeme, wie die (fast immer) fehlende Unterstützung von IEEE 802.1X bei VoIP-Telefonen zeigt. Gestufte Authentifizierung und Rechtevergabe "Uneingeschränkter" Zugang j n Authentifizierung mit IEEE 802.1X j n MAC-Adressauthentifizierung Policy-based VLAN- Assignment mit IEEE 802.1X via RADIUS Policy-based VLAN Assignment per MAC- Adresse möglichst via RADIUS Eingeschränkter Zugang, z.b. nur spezifische Ziele und Dienste Kein Zugang o. isoliertes Gast-VLAN 9

Problembereiche Implementierung des in Windows XP integrierten Supplicants weist Schwächen für das kabelbasierte LAN auf. Verteilung der Konfiguration per Group Policy Object (GPO) ist im Gegensatz zu WLAN nicht ohne weiteres möglich. Eine manuelle Konfiguration kommt ab einer gewissen Anzahl von Clients jedoch nicht in Frage. Der Killer Der Standard geht für kabelbasierte LAN von einem Client pro Netzwerk-Port aus. Was ist mit mehreren Geräten an einem Port? Beispiel: VoIP-Telefone, die über einen integrierten Switch den Anschluss eines Endgeräts am Telefon gestatten. 10

Multiuser-Fähigkeit Kaskadierte Authentifizierung oder Mehrere Clients werden an einem Port authentifiziert 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x Ethernet C A 789101112 123456 1x 2x 3x A 4x 5x 6x 1x 2x 3x B 4x 5x 6x Noch mehr Probleme Wake-on-LAN Anbindung über Medienkonverter 11

Der Standpunkt IEEE 802.1X ist nicht nur eine gute Idee, es ist eine zwingende Konsequenz der Forderung eines abgesicherten LAN-Zugangs zu dem es auch keine alternative Technik gibt. Die Produkte sind da. Es gibt Probleme. Nun gut, dann muss man sie eben angehen Probieren Sie IEEE 802.1X aus. Warten Sie nicht darauf, dass andere die damit verbundenen Probleme lösen! 12

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback