Sicheres WLAN durch WPA und 802.11i, Teil 2

Ablauf von EAP

Die Abbildung zeigt den grundsätzlichen Ablauf einer mittels EAP geschützten Sitzung. In der ersten Phase meldet sich der Client wie gewohnt beim Access Point an und erreicht einen Zustand, in dem er bei normalem WEP oder WEPplus jetzt über den Access Point Daten senden und empfangen könnte. Nicht so jedoch bei EAP, denn in diesem Zustand verfügt der Client ja noch über keinerlei Schlüssel, mit denen man den Datenverkehr vor dem Abhören schützen könnte.

Stattdessen befindet sich der Client aus Sicht des Access Points in einem Zwischenzustand, in dem er nur bestimmte Pakete vom Client weiterleitet. Diese sind alle an einen Authentifizierungs-Server gerichtet. Bei diesen Paketen handelt es sich um das bereits erwähnte EAP/802.1x, das sich an ihrem Ethernet-Typ 0x888e zweifelsfrei von sonstigen Protokollen unterscheiden lässt.

Der Access Point verpackt diese Pakete in RADIUS-Anfragen und reicht sie an den Authentifizierungs-Server weiter. Umgekehrt wandelt der Access Point vom RADIUS-Server kommende Antworten wieder in EAP-Pakete um und reicht sie an den Client weiter. Der Access Point dient dabei sozusagen als Mittelsmann zwischen Client und Server: Er muss den Inhalt dieser Pakete nicht prüfen; er stellt lediglich sicher, dass kein anderer Datenverkehr von oder zu dem Client erfolgen kann.