Sicherheit im WLAN
IEEE802.1X im Detail
Die Idee hinter IEEE802.1X ist, dass einem physischen Anschluss zwei logische Anschlüsse (Ports) zugeordnet werden. Der physische Anschluss leitet die empfangenen Pakete grundsätzlich an den so genannten freien Port (Uncontrolled Port) weiter. Der kontrollierte Port (Controlled Port) kann nur nach einer Authentifizierung erreicht werden, die über den freien Port erfolgen kann.
In der Regel übernimmt ein RADIUS-Server (Remote Access Dial-Up User Service - RFC 2138) die Rolle des Authentifizierungs-Servers. Das RADIUS-Protokoll wurde ebenfalls zur Authentifizierung von Benutzern ausgerichtet, die sich über einen Wählzugang in einem Netzwerk anmelden wollen. Eine Beschreibung findet sich in den RFC 2138 und 2139, sowie 2865 bis 2868. Die EAP-Message wird dann als Attribut im RADIUS-Protokoll übertragen.
Für den Einsatz in einem WLAN ergibt sich folgender Ablauf, den Sie auch im folgenden Bild nachvollziehen können.
1. Der Access Point fordert vom Client seine Identität.
2. Der Client liefert seine Identität an den Access Point.
3. Die Information über den offenen Port leitet der Access Point an den RADIUS-Server weiter.
4. Eine Authentifizierung des Clients wird vom RADIUS-Server gefordert. Diese Anforderung (Challenge) sendet er zunächst an den Access Point.
5. Weiterleitung der Anforderung vom Access Point an den Client.
6. Der Client sendet eine Antwort auf die Anforderung an den Access Point. Diese Antwort enthält die geforderte Authentifizierung, beispielsweise ein bestimmtes Passwort oder eine korrekte Verschlüsselung einer in der Anforderung enthaltenen Zeichenfolge.
7. Die Antwort leitet der Access Point an den RADIUS-Server weiter.
8. Der RADIUS-Server überprüft die Antwort. Im Fall eines Erfolgs sendet er eine entsprechende Meldung an den Access-Point.
9. Der kontrollierte Port wird vom Access-Point freigegeben. Darüber hinaus leitet er die Meldung an den Client weiter.