Bachelor-Thesis. Technisches Sicherheitskonzept für das WLAN-Funknetz der Hochschule Ulm

Bachelor-Thesis Technisches Sicherheitskonzept für das WLAN-Funknetz der Bachelorarbeit an der Fakultät Informatik Studiengang Technische Informatik vorgelegt von Mai 2011 1. Gutachter: Prof. Dr. Markus Schäffter 2. Gutachter: Prof. Dr. Stefan Traub

Eigenständigkeitserklärung ii Eigenständigkeitserklärung Hiermit erkläre ich, dass ich die vorliegende Arbeit selbstständig und ohne fremde Hilfe verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel verwendet habe. Insbesondere versichere ich, dass ich alle wörtlichen und sinngemäßen Zitate als solche kenntlich gemacht und mit genauer Quellenangabe dargelegt habe. Ulm, 31. Mai 2011 Unterschrift

Zusammenfassung iii Zusammenfassung Die betreibt zurzeit ein offenes WLAN, bei welchem keine direkten Sicherheitsmerkmale des WLAN-Standards IEEE 802.11 angewendet werden. Das WLAN dient einzig dem Zugang zum VPN-Gateway der Hochschule. Über diesen ist ein sicherer Zugang zum Intranet und Internet nur für Angehörige der möglich. Um den Komfort und die Kompatibilität zu verbessern und auch Gästen einen Zugang zum Internet über das WLAN zu ermöglichen, soll die WLAN-Infrastruktur der an einen Roaming-Dienst angebunden werden. Als Roaming-Dienst kommt eduroam zusammen mit dem DFNRoaming in Frage. Dafür muss eine WLAN-Infrastruktur auf Basis der 802.1X Authentifizierung aufgebaut werden. In dieser Arbeit wird ein Konzept entwickelt, welches alle Schritte, die zur Umstellung der WLAN-Infrastruktur auf die 802.1X Authentifizierung und die Anbindung an das DFNRoaming/eduroam notwendig sind, aufzeigt.

Danksagung iv Danksagung An dieser Stelle möchte ich Herrn Prof. Dr. Markus Schäffter für seine professionelle Betreuung und das entgegengebrachte Vertrauen danken. Dank gebührt auch Herrn Prof. Dr. Stefan Traub, Herrn Peter Nachtmann sowie Herrn Dietmar Rahlfs für die Zusammenarbeit und Bereitstellung der technischen Mittel. Meiner Familie und meinen Freunden danke ich für die Unterstützung.

Inhaltsverzeichnis v Inhaltsverzeichnis 1. Einleitung 1 1.1. Einführung..................................... 1 1.2. Problemstellung................................... 1 1.3. Zielstellung..................................... 2 1.4. Aufbau der Arbeit................................. 2 2. Grundlagen 3 2.1. Wireless LAN.................................... 3 2.1.1. IEEE 802.11................................ 3 2.1.2. IEEE 802.11i................................ 5 2.1.3. WPA und WPA2.............................. 7 2.2. IEEE 802.1X.................................... 7 2.3. EAP......................................... 10 2.3.1. EAP-TLS.................................. 13 2.3.2. EAP-TTLS................................. 13 2.3.3. EAP-PEAP................................. 14 2.3.4. MS-CHAPv2................................ 16 2.4. EAPOL....................................... 17 2.5. RADIUS....................................... 19 2.5.1. RADIUS-Protokoll............................. 19 2.5.2. RADIUS-Geräte.............................. 21 2.6. RadSec....................................... 22 2.7. Ablauf der 802.1X Authentifizierung....................... 23 2.7.1. Schlüsselmanagement........................... 25 2.7.2. Roaming und 802.1X............................ 29 2.8. eduroam....................................... 29 2.9. Das Deutsche Forschungsnetz........................... 30 2.9.1. DFN-Verein................................. 30 2.9.2. Wissenschaftsnetz X-WiN......................... 31 2.9.3. DFNRoaming................................ 31

Inhaltsverzeichnis vi 3. Anforderungsanalyse 32 3.1. Zielstellung..................................... 32 3.2. Anwendungsfälle.................................. 32 3.2.1. Angehöriger der meldet sich am WLAN der HSU an 33 3.2.2. Angehöriger der meldet sich am WLAN einer anderen Institution an............................... 34 3.2.3. Gast meldet sich am WLAN der an.......... 35 3.2.4. Weitere Anwendungsfälle......................... 36 3.3. Anforderungen................................... 36 3.3.1. Funktionale Anforderungen........................ 36 3.3.2. Nichtfunktionale Anforderungen..................... 37 3.3.3. Zusammenfassung............................. 39 4. Konzeption 40 4.1. Stand der Technik................................. 40 4.2. Grobkonzept.................................... 40 4.2.1. Benötigte Komponenten......................... 41 4.2.2. Ablauf der Authentifizierung....................... 41 4.3. Feinkonzept..................................... 42 4.3.1. Varianten im Überblick.......................... 43 4.3.2. Varianten im Vergleich........................... 44 4.3.3. Verwendete Komponenten......................... 49 4.3.4. Verwendete Einstellungen......................... 50 4.3.5. Ablauf der Authentifizierung....................... 54 4.4. Zusammenfassung................................. 60 5. Performancemessung 61 5.1. Versuchsaufbau................................... 61 5.2. Komponenten im Überblick............................ 62 5.2.1. Iperf / JPerf................................ 62 5.2.2. Iperf-Server................................. 64 5.2.3. Iperf-Client................................. 64 5.2.4. Access Point................................ 65 5.3. Durchführung und Auswertung der Messung................... 66 5.3.1. Datenrate Iperf-Server........................... 66 5.3.2. Datenrate einzelner WLAN-Clients.................... 67 5.3.3. Datenrate mehrerer WLAN-Clients zusammen............. 70 5.3.4. Access Point Cluster............................ 74

Inhaltsverzeichnis vii 5.4. Zusammenfassung................................. 75 6. Umsetzung 77 6.1. DFN-Anmeldung.................................. 77 6.2. VLAN........................................ 77 6.3. Access Points.................................... 78 6.4. Firewall....................................... 79 6.5. RADIUS-Server................................... 79 6.5.1. Installation................................. 79 6.5.2. Zertifikat.................................. 80 6.5.3. Konfiguration................................ 80 6.6. RadSecProxy.................................... 88 6.6.1. Installation................................. 88 6.6.2. Konfiguration................................ 88 6.6.3. Zusammenfassung............................. 90 6.7. Client-Konfiguration................................ 90 6.7.1. Anforderungen............................... 91 6.7.2. Einstellungen................................ 92 6.7.3. Beispiel-Konfiguration........................... 92 6.8. Fehleranalyse.................................... 96 7. Bewertung 98 7.1. Funktionale Anforderungen............................ 98 7.2. Nichtfunktionale Anforderungen.......................... 98 8. Zusammenfassung und Ausblick 101 Abbildungsverzeichnis Tabellenverzeichnis Literaturverzeichnis Abkürzungsverzeichnis viii ix x xv A. radsecproxy Konfigurationsvorlage xviii

1. Einleitung 1 1. Einleitung 1.1. Einführung WLAN-Infrastrukturen sind weit verbreitet und bieten dem Nutzer einen einfachen und komfortablen Netzzugang. Dabei spielt die Sicherheit eine wichtige Rolle, da ein WLAN für jeden, der in dessen Reichweite ist, zu empfangen ist. Anforderungen wie Vertraulichkeit, Integrität und Authentifizierung müssen erfüllt werden. Zur Lösung gibt es unterschiedliche Ansätze, die alle ihre Vor- und Nachteile haben. 1.2. Problemstellung Die betreibt zurzeit ein offenes WLAN, bei welchem keine direkten Sicherheitsmerkmale des WLAN-Standards IEEE 802.11 angewendet werden. Das WLAN dient einzig dem Zugang zum VPN-Gateway der Hochschule. Über diesen ist ein sicherer Zugang zum Intranet und Internet möglich. Der VPN-Tunnel bietet zwar ein hohes Maß an Sicherheit und erfüllt die Anforderungen für Vertraulichkeit, Integrität und Authentifizierung, jedoch ist er nicht sehr komfortabel. Es muss jedes Mal vor der Nutzung des WLANs der VPN-Tunnel vom Benutzer aufgebaut werden. Für die meisten Endgeräte (Laptops, Tablet-PCs, Smartphones) wird dazu eine spezielle Zusatzsoftware in Form eines VPN-Clients benötigt. Diese existiert aber nicht für jede Plattform und stellt einen gewissen Aufwand bei der Konfiguration dar. Für den Benutzer bietet dies daher nur wenig Komfort. Um den Komfort und die Kompatibilität zu verbessern, muss eine Alternative gesucht werden. Durch die Erweiterung IEEE 802.11i des WLAN-Standards um weitere und verbesserte Sicherheitsmaßnahmen ist eine komfortablere Lösung auf Basis der IEEE 802.1X Authentifizierung zusammen mit der WPA2-Verschlüsselung möglich. Neben Steigerung des Komforts und der Kompatibilität, sollen auch Gäste einen einfach Zugriff auf das Internet über das WLAN der erhalten. Die 802.1X Authentifizierung stellt dabei auch den Standard für Roaming-Dienste wie z. B. DFNRoaming/eduroam dar. Dabei handelt es sich um einen

1. Einleitung 2 Roaming-Dienst, welcher allen Teilnehmern dieses Verbundes einen einfachen und komfortablen Zugriff auf das Internet über das WLAN der jeweiligen Institution bietet. 1.3. Zielstellung Ziel dieser Arbeit ist die Erstellung eines Sicherheitskonzepts für das WLAN der Hochschule Ulm, welches dem Nutzer einen sicheren, vertraulichen und komfortablen Zugang zum WLAN und der darüber angebotenen Dienste bietet. Zudem sollen alle gängigen mobilen Geräte (Laptops, Tablet-PCs, Smartphones) mit allen gängigen Betriebssystemen (Windows, Linux, ios, Android, Windows Mobile, BlackBerry OS, Symbian) unterstützt werden. Dabei soll darauf geachtet werden, dass auf den Geräten möglichst keine Zusatzsoftware benötigt wird und dass sich der Konfigurationsaufwand für den Anwender in Grenzen hält. Durch Anbindung an den Roaming-Dienst des Deutschen Forschungsnetzes, soll auch Gästen ein sicherer und vertraulicher Zugang zum WLAN und somit zum Internet geboten werden. 1.4. Aufbau der Arbeit Die Arbeit behandelt zunächst alle Grundlagen, die im Zusammenhang mit der 802.1X Authentifizierung stehen und für die Anbindung an den Roaming-Dienst des DFNs benötigt werden. Danach wird auf die Anforderungen der neu zu entwickelnden WLAN-Infrastruktur eingegangen. Anhand der Anforderungen wird dann ein Konzept entwickelt, welches die Umstellung auf die 802.1X Authentifizierung und die dafür notwendigen Komponenten beschreibt. In Kapitel 5 wird die Leistungsfähigkeit der benötigten Access Points durch Performancemessungen unter Laborbedingungen bestimmt. Anhand der gewonnen Erkenntnisse in den Kapiteln Konzeption und Performancemessung wird im Kapitel Umsetzung auf die Konfiguration aller notwendigen Komponenten eingegangen, um die neu entwickelte WLAN-Struktur aufzubauen. Die Arbeit endet im Kapitel 7 mit einer Bewertung der neuen WLAN-Infrastruktur anhand der Anforderungen.

2. Grundlagen 3 2. Grundlagen 2.1. Wireless LAN Wireless LAN gewinnt mit der steigenden Verbreitung von mobilen Geräten (Laptops, Tablet- PCs, Smartphones) immer mehr an Bedeutung. Um die Mobilität der Geräte zu gewährleisten, sind diese auf drahtlose Datenverbindungen zwingend angewiesen. Im Gegensatz zur Anbindung über Mobilfunknetze sind IEEE 802.11 Funknetze (WLAN) vergleichsweise performant und preiswert. Es liegt daher gerade für eine Hochschule für Technik nahe, ihren Angehörigen und Gästen einen schnellen und komfortablen WLAN-Zugang zu ermöglichen. 2.1.1. IEEE 802.11 IEEE 802.11 ist der Standard, auf welchem heute die meisten WLAN-Geräte basieren. [Rec08, S. 3] Beim 802.11-Standard handelt es sich um eine Familie von technischen Standards. Der 802.11- Grundstandard wurde 1997 vom IEEE (Institute of Electrical and Electronics Engineers) verabschiedet. Er ermöglicht Datenraten von bis zu 2 MBit/s. Die Funkübertragung arbeitet mit Infrarotverbindungen bzw. mit elektromagnetischen Wellen im 2,4-GHz-Band. Dieser Frequenzbereich liegt im so genannten ISM-Band (Industrial, Scientific, Medical), welches weltweit lizenz- und genehmigungsfrei genutzt werden darf. Dadurch ergibt sich der Vorteil, dass für den Betrieb eines WLANs keine Genehmigung erforderlich ist und keine Lizenzgebühren anfallen. [Rec08, S. 6] Um höhere Datenraten zu erreichen, wurde der 802.11-Grundzustand erweitert und modifiziert. Im Jahre 1999 wurde die Standarderweiterung IEEE 802.11b verabschiedet, welche eine Datenrate von bis zu 11MBit/s im 2,4-GHz-Band ermöglicht. [Rec08, S. 6] Zeitgleich wurde 1999 die Standarderweiterung IEEE 802.11a verabschiedet. Diese ermöglicht Datenraten von bis zu 54 MBit/s und arbeitet im 5-GHz-Band. Da 802.11a mit einer Sendeleistung arbeitet, die in Europa nicht erlaubt ist, darf der Standard nur mit einer eingeschränkten

2. Grundlagen 4 Sendeleistung und einer geringeren Anzahl von Kanälen in Europa betrieben werden. [Rec08, S. 7] Erst mit der Standarderweiterung 802.11h, welche 2003 verabschiedet wurde, können Geräte nach dem Standard 802.11a mit vollem Leistungsumfang in Europa genutzt werden. Der Standard 802.11h erweitert den Standard 802.11a um zwei wesentliche Merkmale wie einer dynamischen Kanal- bzw. Frequenzwahl (Dynamic Frequency Selection (DFS)) und einer automatischen Leistungsreduzierung (Transmit Power Control (TPC)). [Rec08, S. 7] Wegen der Einschränkungen im Betrieb und der späten Einführung von 802.11h ist die Verbreitung von Geräten nach dem Standard 802.11a in Europa gering. [Rec08, S. 7] Mit IEEE 802.11g erfolgte 2003 eine weitere Standarderweiterung, welche eine Datenrate von bis zu 54MBit/s im 2,4-GHz-Band ermöglicht. Geräte nach 802.11g sind dabei auch mit Geräten nach 802.11b grundsätzlich kompatibel. [Rec08, S. 7]; [Hof05, S. 9] Ende 2009 wurde die Standarderweiterung IEEE 802.11n verabschiedet, welche eine Datenrate von bis zu 600MBit/s ermöglicht und dabei wahlweise auf das 2,4-GHz-Band und das 5-GHz- Band zurückgreift. Geräte nach 802.11n sind mit Geräten zu den Standards 802.11a/b/g kompatibel. [Ele11n] Eine weitere Standarderweiterung ist IEEE 802.11i, welche die Sicherheit von WLAN deutlich verbessert. Weitere Informationen können im Abschnitt 2.1.2 auf der nächsten Seite entnommen werden. Neben den bereits erwähnten Standarderweiterungen gibt es noch weitere, die z. B. die Implementierung von QoS (Quality of Service) oder die Kommunikation zwischen Access Points behandeln. [Rec08, S. 8 ff.] Diese werden hier aber nicht weiter betrachtet. In Tabelle 2.1 sind die Standarderweiterungen mit zugehörigen Datenraten aufgelistet. Standard Datenrate (brutto) Datenrate (netto) Frequenzband IEEE 802.11 2 MBit/s 1 MBit/s 2,4 GHz IEEE 802.11a 54 MBit/s 22 MBit/s 5GHz IEEE 802.11b 11 MBit/s 5 MBit/s 2,4 GHz IEEE 802.11g 54 MBit/s 22 MBit/s 2,4 GHz IEEE 802.11n 600 MBit/s 240 MBit/s 2,4 GHz / 5 GHz Tabelle 2.1.: WLAN Standards Überblick [Ele11b] Das 2,4-GHz-Band stellt für WLAN in Deutschland 13 Kanäle zur Verfügung, welche jeweils einen Abstand von 5 MHz aufweisen. Der Standard 802.11b arbeitet jedoch mit einer Bandbreite von 22 MHz pro Kanal. Dies führt dazu, dass sich benachbarte Kanäle wegen ihrer zu geringen

2. Grundlagen 5 Breite überlappen. Um einen störungsfreien Betrieb zu ermöglichen, sollte zwischen zwei WLAN-Geräten mindestens ein Kanalabstand von 25 MHz eingehalten werden. Dadurch ergeben sich die drei Kanäle 1, 6 und 11, auf welchen ein störungsfreier Betrieb möglich ist. Noch besser ist es, einen Kanalabstand von 30 MHz und somit die Kanäle 1, 7 und 13 zu verwenden. Es können daher immer nur 3 WLAN-Geräte nach dem Standard 802.11b gleichzeitig innerhalb eines Empfangsbereichs störungsfrei betrieben werden. [WikWLAN]; [Rec08, S. 400 ff.] Geräte nach dem Standard 802.11g arbeiten mit einer Bandbreite von 20 MHz pro Kanal. Dies ermöglicht jetzt 4 Geräte störungsfrei auf den Kanälen 1, 5, 9 und 13 zu betreiben, allerdings nur, wenn kein Mischbetrieb aus 802.11b/g verwendet wird. [WikWLAN] Im Gegensatz dazu können Geräte nach dem Standard 802.11n sowohl im 2,4-GHz- als auch im 5-GHz-Band arbeiten. Das 5-GHz-Band stellt insgesamt 19 Kanäle mit einer Bandbreite von jeweils 20 MHz zur Verfügung. Insgesamt können so 19 WLAN-Geräte gleichzeitig innerhalb eines Empfangsbereichs störungsfrei mit einer Bandbreite von 20 MHz betrieben werden. Um die Datenrate zu erhöhen, können Geräte nach dem Standard 802.11n auch mit einer erweiterten Bandbreite von 40 MHz betrieben werden. Im 2,4-GHz-Band wird dies nicht empfohlen, da dann nur noch zwei störungsfreie Kanäle vorhanden sind und weitere 2,4- GHz-Geräte ggf. gestört werden und sich ihre Performance somit deutlich verschlechtert. Im 5-GHz-Band hingegen ist ein Betrieb mit einer Kanalbreite von 40 MHz problemlos möglich. Es stehen dann statt 19 noch 8 störungsfreie Kanäle zur Verfügung. [WikWLAN]; [Rec08, S. 264 f.] Das WLAN der arbeitet derzeit nach dem Standard 802.11b/g im 2,4-GHz- Band. Dieser ist heute in Europa am meisten verbreitet. Mit der Zeit nimmt aber auch die Verbreitung von Geräten nach dem Standard 802.11n zu. Daher ist eine Erweiterung des WLANs der auf 802.11n und das 5-GHz-Band in naher Zukunft unbedingt zu empfehlen. 2.1.2. IEEE 802.11i Im WLAN Grundstandard 802.11 sind bereits Sicherheitsmechanismen integriert, um den unautorisierten Zugriff auf das WLAN und das Mitlauschen und Manipulieren von Daten zu verhindern. Die Sicherheitsmechnismen werden unter dem Begriff WEP (Wired Equivalent Privacy) zusammengefasst. WEP soll den Zugang zum WLAN kontrollieren und dabei die Vertraulichkeit und Integrität der Daten sicherstellen. Wesentlicher Bestandteil von WEP ist die Authentifizierung durch einen Pre-Shared Key und die WEP-Datenverschlüsselung, welche auf RC4 basiert. Es wurde aber schnell festgestellt, dass die WEP-Verschlüsselung Schwachstellen aufweist und keinen ausreichenden Schutz bietet. Durch gezielte Angriffe und

2. Grundlagen 6 die Ausnutzung der Schwachstellen kann die WEP-Verschlüsselung gebrochen werden. [Rec08, S. 435 ff.]; [Hof05, S. 49 ff.]; [Oss10];[Kle06] Daher wurde im Jahr 2004 der IEEE 802.11i-Standard verabschiedet, welcher erweiterte Sicherheitsmechanismen bietet. IEEE 802.11i definiert einheitliche und herstellerübergreifende Sicherheitsmechanismen, welchen den heutigen Sicherheitsansprüchen gerecht werden. Um die Kompatibilität von älteren WLAN-Geräten weiter zu gewährleisten, wurden zwei neue Sicherheitsverfahren eingeführt, die die Vertraulichkeit und Datenintegrität sicherstellen sollen. Das erste Verfahren ist eine optionale Übergangslösung und basiert wie auch schon die WEP-Verschlüsselung auf RC4. Durch einen häufigen Schlüsselwechsel weist es aber nicht mehr deren Sicherheitsprobleme auf und wird als Temporary Key Integrity Protocol (TKIP) bezeichnet. TKIP stellt eine Übergangslösung für ältere WLAN-Geräte dar. Diese können TKIP durch Firmware- bzw. Treiberupdates mit der herkömmlichen Hardware nutzen. Um die Datenintegrität sicher zu stellen, verwendet TKIP einen Message Integrity Check (MIC). [Rec08, S. 449]; [BSI09, S. A-20 ff.] Das zweite und endgültige in 802.11i festgelegte Verfahren basiert auf dem symmetrischen Verschlüsselungsverfahren Advanced Encryption Standard (AES) und arbeitet im Modus CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Das Verfahren wird daher als AES-CCMP bezeichnet. AES stellt heute ein sehr sicheres Verschlüsselungsverfahren dar und wird vom National Institute of Standards and Technology (NIST) empfohlen. Um AES-CCMP zu nutzen, muss dies von der WLAN Hardware auch unterstützt werden, da AES-CCMP für bessere Performance in Hardware realisiert wird. [Rec08, S. 450]; [BSI09, S. A-20 ff.] Mit 802.11i wurde auch ein erweitertes Authentifizierungsverfahren zusammen mit einem automatischen, dynamischen Schlüsselmanagement eingeführt. Dies wird als Authentication and Key Management (AKM) bezeichnet. AKM verwendet entweder Authentifizierungsverfahren, die nach dem IEEE 802.1X-Standard spezifiziert sind und auf dem Extensible Authentication Protocol (EAP) basieren oder einen Pre-Shared Key (PSK). Wobei der PSK für kleinere WLAN Installationen ohne Authentifizierungsserver gedacht ist. WLAN Installationen, die die neuen Sicherheitsmechanismen (TKIP oder AES-CCMP) nach 802.11i einsetzen, werden vom IEEE als Robust Security Network (RSN) bezeichnet. [Rec08, S. 450 f.] WLAN-Geräte, die dem 802.11i-Standard entsprechen, müssen zwingend AES-CCMP und die 802.1X Authentifizierung unterstützten. TKIP ist nur eine optionale Übergangslösung und reicht allein nicht aus. [Rec08, S. 450]

2. Grundlagen 7 2.1.3. WPA und WPA2 WPA steht für Wi-Fi Protected Access und ist eine Definition der Wi-Fi Alliance. WPA wurde im Jahr 2003 veröffentlicht und stellt eine Teilmenge des IEEE 802.11i-Standards dar, welcher damals noch in der Entwicklung war. WPA stützt sich dabei auf die TKIP-Verschlüsselung und die Integritätsprüfung MIC. WPA wurde als ein quasi vorzeitiger Standard von der Wi-Fi Alliance eingeführt, da sich die Verabschiedung des regulären IEEE 802.11i Standards verzögerte. Im Jahr 2004 wurde dann WPA2 veröffentlicht, welches dem finalen IEEE 802.11i-Standard im Wesentlichen entspricht und für die Verschlüsselung und Integritätsprüfung AES-CCMP nutzt. [Rec08, S. 451 f.] Für die Authentifizierung stehen sowohl bei WPA als auch bei WPA2 die zwei Möglichkeiten vom IEEE 802.11i-Standard zur Verfügung, welche als WPA-Personal und als WPA- Enterprise bezeichnet werden. WPA-Enterprise benötigt einen Authentifizierungsserver für die Authentifizierung der Clients und für den dynamischen Schlüsselaustausch. Dabei werden Authentifizierungsverfahren, die nach dem IEEE 802.1X-Standard spezifiziert sind und auf dem Extensible Authentication Protocol (EAP) basieren, genutzt. Bei WPA-Personal dagegen, wird ein Pre-Shared Key (PSK) für die Authentifizierung und die dynamische Schlüsselgenerierung verwendet. WPA-Personal eignet sich daher für kleinere WLAN-Installationen ohne Authentifizierungsserver. [Rec08, S. 451 f.] In Tabelle 2.2 sind die unterschiedlichen Verschlüsselungsvarianten nochmals dargestellt. Verschlüsselungsvariante WEP WPA WPA2 Personal-Mode Authentifizierung PSK PSK PSK Verschlüsselung WEP(RC4) TKIP(RC4) CCMP(AES) Enterprise-Mode Authentifizierung - 802.1X/EAP 802.1X/EAP Verschlüsselung - TKIP(RC4) CCMP(AES) Tabelle 2.2.: WLAN-Verschlüsselungsvarianten 2.2. IEEE 802.1X Der IEEE 802.1X-Standard wurde ursprünglich für drahtgebundene Netzwerke (z. B. Ethernet) entwickelt. Er ermöglicht eine Port-basierte Zugangskontrolle zu einem Netzwerk (Port Based Network Access Control). Ein Rechner erhält erst Zugang auf das Netzwerk, wenn er sich erfolgreich bei einem Authentifizierungsserver authentifiziert hat. Mittlerweile wird 802.1X auch für die Authentifizierung von Clients im WLAN eingesetzt. Die 802.1X Authentifizierung besteht im Wesentlichen aus drei verschiedenen Instanzen: dem

2. Grundlagen 8 Supplicant, dem Authenticator und dem Authentifizierungsserver. [Rec08, S. 453 ff.]; [Hof05, S. 82 f.] Supplicant Der Supplicant (Bittsteller) stellt den Client dar, der auf das Netzwerk zugreifen möchte und um Zugang bittet. Im Fall von WLAN handelt es sich um den entsprechenden WLAN-Client (z. B. ein Laptop oder ein Smartphone). Authenticator Der Authenticator verwaltet den Zugriff auf das Netzwerk. Er fungiert dabei als Vermittler zwischen Supplicant und Authentifizierungsserver. Authentifizierungsanfragen des Supplicants werden vom Authenticator entgegen genommen und an den Authentifizierungsserver weiter geleitet. Wenn ein Supplicant erfolgreich authentifiziert wird, dann gibt der Authenticator den Zugriff auf das Netzwerk frei. Ohne erfolgreiche Authentifizierung blockt der Authenticator den Zugriff auf das Netzwerk und akzeptiert nur Authentifizierungsanfragen. Im Falle von Ethernet ist der Authenticator ein Switch, im Falle von WLAN ein Access Point. Authentifizierungsserver Der Authentifizierungsserver nimmt die Authentifizierungsanfrage des Supplicants über den Authenticator entgegen und entscheidet, ob der Supplicant Zugriff auf das Netz erhält oder nicht. Die entsprechende Bestätigung oder Ablehnung wird über den Authenticator an den Supplicant geschickt. Als Authentifizierungsserver wird häufig ein RADIUS-Server eingesetzt (Remote Authentication Dial-In User Service). Im Falle von WLAN ist der Authentifizierungsserver neben der Authentifizierung der Clients auch für die Verteilung der dynamischen Schlüssel für die Verschlüsselung verantwortlich. Das Zusammenspiel der drei Instanzen kann Abbildung 2.1 entnommen werden. Abbildung 2.1.: 802.1X-Modell Der Supplicant leitet den Authentifizierungsvorgang ein und bittet den Authenticator um Zugriff auf das Netzwerk. Der Authenticator leitet die Anfrage an den Authentifizierungsserver weiter. Bei einer erfolgreichen Authentifizierung des Supplicants sendet der Authentifizierungsserver eine Bestätigung über den Authenticator an den Supplicant. Der Authenticator autorisiert jetzt den Supplicant und gewährt ihm Zugriff auf das Netzwerk. Ohne bzw. bei keiner erfolgreichen

2. Grundlagen 9 Authentifizierung blockt der Authenticator den Zugriff auf das Netzwerk und akzeptiert nur Authentifizierungsanfragen vom Supplicant. Der Authenticator stellt dazu die Zugangsports (802.1X-Ports) zum Netzwerk bereit. Bei einem Ethernet Switch handelt es sich um die physikalischen Ports, bei einem WLAN Access Point hingegen um virtuelle Ports. Über den Port wird festgelegt, ob ein Datentransfer zugelassen wird oder nicht. Jeder Port hat zwei logische Einheiten von Ports, einen kontrollierten und einen unkontrollierten Port. Der unkontrollierte Port ist immer offen, akzeptiert aber nur Authentifizierungsanfragen. Alle anderen Anfragen und Pakete werden verworfen. Der kontrollierte Port ist standardmäßig blockiert (nicht autorisiert) und wird erst nach erfolgreicher Authentifizierung des Supplicants geöffnet (autorisiert). Über den kontrollierten Port erhält der Supplicant dann Zugriff auf das Netzwerk. [Rec08, S. 453 ff.]; [Hof05, S. 82 f.]; [Str04] In Abbildung 2.2 sind die Ports schematisch dargestellt. Abbildung 2.2.: 802.1X-Ports [Str04] Als Kommunikationsprotokoll von 802.1X wird das Extensible Authentication Protocol (EAP) eingesetzt. Dabei werden die EAP-Pakete vom Supplicant zum Authenticator mit EAPOL (EAP over LAN) übertragen. Der Supplicant fungiert als EAP-Proxy. Er nimmt die EAP- Pakete vom Supplicant entgegen und leitet diese an den Authentifizierungsserver weiter. Die Kommunikation zwischen Authenticator und Authentifizierungsserver findet in der Regel über das RADIUS-Protokoll statt. Je nach Übertragungsrichtung muss der Authenticator die EAP Pakete von EAPOL in RADIUS oder von RADIUS in EAPOL umpacken. [Rec08, S. 454 f.]

2. Grundlagen 10 Damit ein Client als Supplicant fungieren kann, benötigt er eine Authentifizierungssoftware (Supplicant). Ab Windows XP Service Pack 2 gehört ein Supplicant zum Lieferumfang von Windows. Für andere Betriebssysteme wie Linux und Mac OS X steht auch entsprechende Software zur Verfügung, oder ist teilweise schon im System integriert. [Rec08, S. 455] 2.3. EAP Das Extensible Authentication Protocol (EAP) wird im IEEE 802.1X-Standard für die Authentifizierung des Supplicants verwendet. EAP ist im RFC 3748 [RFC3748] spezifiziert und wurde ursprünglich für das Point-to-Point Protocol (PPP) entwickelt. EAP ist modular aufgebaut und gibt keine Authentifizierungsmethode vor, daher wird es auch als Authentifzierungs-Framework bezeichnet. Je nach Sicherheitsbedarf können unterschiedliche Authentifizierungsmethoden (z. B. EAP-TLS, EAP-TTLS, EAP-PEAP) gewählt werden. [Rec08, S. 457 ff.]; [Hof05, S. 83 ff.] Die EAP-Kommunikation ist einfach gehalten und basiert auf vier verschiedenen EAP-Paketen, mit denen ein Request-Response-Verfahren zwischen Supplicant (bei EAP auch als Peer bezeichnet) und Authenticator bzw. Authentifizierungsserver umgesetzt wird. [Rec08, S. 457 ff.] EAP-Request (Code 1) Das EAP-Request-Paket wird verwendet, um Nachrichten vom Authenticator zum Supplicant zu übertragen. Es enthält die Daten der entsprechend gewählten Authentifizierungsmethode. EAP-Response (Code 2) Das EAP-Response-Paket wird verwendet, um Nachrichten vom Supplicant zum Authenticator zu übertragen. Auch dieses enthält die Daten der entsprechend gewählten Authentifizierungsmethode. EAP-Success (Code 3) Die EAP-Success Nachricht teilt dem Supplicant mit, dass die Authentifizierung erfolgreich verlaufen ist. EAP-Failure (Code 4) Die EAP-Failure Nachricht teilt dem Supplicant mit, dass die Authentifizierung nicht erfolgreich war und der Supplicant abgelehnt wurde. Ein EAP-Paket, dargestellt in Abbildung 2.3 auf der nächsten Seite, besteht aus den folgenden Feldern:

2. Grundlagen 11 Abbildung 2.3.: EAP-Paket [Hof05, S. 85]; [RFC3748, S. 22] Code Das Code-Feld ist 1 Byte lang und legt den Typ bzw. die Funktion des EAP-Pakets fest. (Request, Response, Success, Failure) Identifier Das Identifier-Feld ist 1 Byte lang und enthält eine laufende Nummer, an der zusammengehörende EAP-Request- und EAP-Response-Pakete erkannt werden, die zu einem Authentifizierungsvorgang gehören. Length Das Length-Feld ist 2 Byte lang und gibt die Länge des EAP-Pakets, inklusiv Header und Datenteil, an. Datenfeld (nur bei EAP-Request- und EAP-Response-Paketen) EAP-Request- und EAP-Response-Pakete enthalten noch ein zusätzliches Datenfeld mit einem 1 Byte langem Type-Feld und einem darauffolgenden Datenteil (Type Data) variabler Länge, je nach gewähltem Type. Das Type-Feld legt fest, welche Information bzw. welche Authentifizierungsmethode über ein EAP-Request- oder ein EAP-Response-Paket transportiert wird. Tabelle 2.3 auf der nächsten Seite gibt einen Überblick über die wichtigsten EAP-Typen. Type 1 (Identity): EAP-Request/Identity- und EAP-Response/Identity-Pakete dienen zum Abfragen der Identität des Supplicants durch den Authenticator. Die Identität kann hierbei in der Form name@realm übermittelt werden. Die Übermittelung findet allerdings im Klartext statt. Daher sollte hier, wenn möglich, eine anonyme Identität in der Form anonymous@realm verwendet werden. Diese dient nur für Routing-Zwecke, um die nachfolgenden EAP-Pakete an den richtigen Authentifizierungsserver weiterzuleiten. Erst in den nachfolgenden EAP-Paketen mit enthaltener Authentifizierungsmethode wird die vollständige Identität übermittelt. Je nach

2. Grundlagen 12 Type-Wert Beschreibung 1 Identity 2 Notification 3 Nak (Not acknowledged) 4 MD5-Challenge 5 One-Time Password (OTP) 6 Generic Token Card (GTC) 13 EAP-TLS 17 LEAP 21 EAP-TTLS 25 EAP-PEAP 29 EAP-MS-CHAPv2 Tabelle 2.3.: EAP-Typen [RFC3748, S. 27]; [Rec08, S. 459]; [Hof05, S. 85] gewählter Methode kann die Übermittlung der Identität dann auf einem sicheren Weg, z. B. durch einen verschlüsselten Tunnel erfolgen. [RFC3748, S. 28 f.]; [Rec08, S. 458] Type 2 (Notification) Über ein EAP-Request/Notification-Paket kann der Authenticator eine Nachricht in Klartext an den Supplicant schicken. Der Supplicant antwortet darauf mit einem EAP-Response/Notification- Paket. [RFC3748, S. 29 f.]; [Rec08, S. 458] Type 3 (Nak) Falls der Supplicant eine vom Authenticator angeforderte Authentifizierungsmethode nicht unterstützt, kann er ein EAP-Response/Nak-Paket (Not acknowledged) an den Authenticator schicken und die Authentifizierungsmethode somit ablehnen. Der Authenticator muss daraufhin eine andere Methode wählen. Ist das nicht möglich, wird der Supplicant abgelehnt.[rfc3748, S. 31 ff.]; [Rec08, S. 458] Type 4 253 Die Typen 4-253 stellen die unterschiedlichen Authentifizierungsmethoden dar, die für ein EAP-Request/Response-Paket zur Authentifizierung verwendet werden können. Die Authentifizierungsmethoden unterscheiden sich zum Teil stark in ihrer Funktionsweise und Sicherheit. Daher muss man je nach Anwendungsfall genau abwägen, welche Methode für einen Fall am besten geeignet ist. [Rec08, S. 461 ff.]; [Hof05, S. 87 ff.]; [RFC3748, S. 35 ff.] In Tabelle 2.3, sind die wichtigsten Methoden aufgelistet. Im Nachfolgenden wird aber nur auf die Methoden näher eingegangen, die für eine WLAN Authentifizierung nach IEEE 802.1X eine wichtige Rolle spielen.

2. Grundlagen 13 2.3.1. EAP-TLS EAP-TLS steht für EAP-Transport Layer Security Protocol und ist eine Authentifizierungsmethode, die auf EAP und TLS basiert. TLS ist auch unter der Vorgängerbezeichnung Secure Socket Layer (SSL) bekannt und im RFC5246 [RFC5246] spezifiziert. EAP-TLS ist im RFC5216 [RFC5216] definiert. EAP-TLS führt eine gegenseitige Authentifizierung zwischen Supplicant und Authentifizierungsserver auf Basis von TLS durch. Der TLS-Handshake läuft dabei gekapselt in EAP-Paketen ab, die den Wert 13 im Type-Feld besitzen. EAP-TLS benötigt für die gegenseitige Authentifizierung sowohl ein Server-Zertifikat als auch jeweils ein Client-Zertifikat auf den einzelnen Supplicants. Um die Client-Zertifikate auszustellen und zu verwalten, wird eine eigene Public Key Infrastructure (PKI) benötigt. Dies macht die Einrichtung und Verwaltung recht aufwändig. EAP-TLS wird im WLAN-Bereich nur zur Authentifizierung und zum Aushandeln der dynamischen Schlüssel für die WLAN-Verschlüsselung verwendet. Dabei werden aber sowohl das Server- als auch das Client-Zertifikat unverschlüsselt übertragen, was einem Angreifer ermöglicht, die Identität des Nutzers zu ermitteln. Dies kann umgangen werden, indem zunächst eine TLS Verbindung zwischen Supplicant und Authentifizierungsserver aufgebaut wird, bei welcher sich zuerst nur der Server authentifiziert. Die Authentifizierung des Clients über das Client-Zertifikat findet dann anschließend verschlüsselt innerhalb des TLS-Tunnels statt. Diese Variante muss jedoch vom Supplicant als auch vom Server unterstützt werden. Das kann z. B. durch Kombination von EAP-PEAP mit EAP-TLS erreicht werden. [Hof05, S. 88 ff.]; [Rec08, S. 462 f.]; [RFC5216] 2.3.2. EAP-TTLS EAP-TTLS (EAP-Tunneled Transport Layer Security Protocol) ist eine erweiterte Variante von EAP-TLS und ist im RFC 5281 [RFC5281] spezifiziert. EAP-TTLS besitzt den Wert 21 im Type-Feld eines EAP-Pakets. Ein Authentifizierungsvorgang mittels EAP-TTLS besteht aus zwei Phasen. In der ersten Phase wird ein verschlüsselter TLS-Tunnel zwischen Supplicant und Authentifizierungsserver aufgebaut. Dazu muss sich nur der Server gegenüber dem Supplicant authentifizieren. Dafür wird nur ein Server-Zertifikat benötigt. Ein Client-Zertifikat, wie bei EAP-TLS, ist nicht nötig. Die Authentifizierung des Supplicants findet dann in der zweiten Phase sicher und verschlüsselt durch den TLS-Tunnel statt. Für die Authentifizierung innerhalb des Tunnels ermöglicht EAP-TTLS ein beliebiges Authentifizierungsverfahren (z. B. PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) zu wählen, welches dann die komplette Authentifizierung innerhalb des Tunnels abwickelt. Die Authentifizierung läuft dann je nach gewähltem Verfahren über Benutzername und Password. Die Identität des Nutzers wird bei EAP-TTLS