Security auf dem Link Layer

EAP und 802.1X

Das Extensible Authentication Protocol (EAP, RFC 2284) stellt eine wichtige Grundlage für eine umfassende und zentralisierte Sicherheitskonzeption dar. Ursprünglich wurde EAP als zuverlässige Authentifizierung der Remote-Access-User für PPP-Links entwickelt. Als allgemeines Protokoll bietet EAP mehrere Authentifizierungsmöglichkeiten. Die Auswahl des Verfahrens findet erst nach dem Link-Aufbau in der Authentifizierungsphase statt.

Von PPP ausgehend hat EAP mittlerweile auch Zugang in das 2001 verabschiedete IEEE 802.1x gefunden. Ziel dieses Standards ist die Port-bezogene Zugangskontrolle in Netzwerken (Port-based Network Access Control). Die Idee hinter 802.1x besteht darin, einem physischen Anschluss zwei logische Ports zuzuordnen. Der physische Anschluss leitet die empfangenen Pakete grundsätzlich an den so genannten freien Port (Uncontrolled Port) weiter. Der kontrollierte Port (Controlled Port) kann jedoch nur nach einer Authentifizierung erreicht werden. Diese erfolgt über den freien Port.

Die EAP-Messages werden dazu in 802.1x-Nachrichten verpackt (EAP over LAN, EAPOL). In der Regel übernimmt ein RADIUS-Server die Rolle des Authentifizierungsservers. Die EAP-Message wird dann als Attribut im RADIUS-Protokoll übertragen.