Sicherheit im WLAN
Authentifizierung via EAP und 802.1X
Das Extensible Authentication Protocol (EAP - RFC 2284) stellt ein grundlegendes Fundament für eine umfassende und zentralisierte Sicherheitskonzeption dar. Es wurde ursprünglich für PPP-Links entwickelt, um eine zuverlässige Authentifizierung von Remote-Access-Usern bereitzustellen. EAP ist ein allgemeines Protokoll, das mehrere Authentifizierungsmöglichkeiten bietet. Die Auswahl des Verfahrens findet im Point-to-Point-Protocol erst nach der Link Control Phase (LCP) in der Authentifizierungsphase statt.
Byte | Beschreibung | Anmerkung |
|---|---|---|
Im Rahmen: Das Rahmenformat der in Ethernet eingepackten EAP-Pakete. | ||
1 - 7 | Preamble | |
8 | Start Delimiter | |
9 -14 | Destination Address | |
15 - 20 | Source Address | |
21 - 22 | Length / Type | Port Access Entity (PAE) Ethernet Type |
23 | Protocol Version | 0000 0001 als Standard |
24 | Packet Type | 0000 0000 EAP-Packet 0000 0001 EAPOL-Start 0000 0010 EAPOL-Logoff 0000 0011 EAPOL-Key 0000 0100 EAPOL-Encapsulation-ASF-Alert |
25 - 26 | Packet Body Length | vorhanden nur für EAP-Packet, EAPOL-Key, EAPOL-Encapsulation-ASF-Alert |
27 - N | Packet Body | vorhanden nur für EAP-Packet, EAPOL-Key, EAPOL-Encapsulation-ASF-Alert |
Von PPP ausgehend hat EAP mittlerweile auch Zugang in den im Jahr 2001 verabschiedeten IEEE802.1X gefunden, das die physische Übertragung auf LAN-Netzwerke anpasst. Die EAP-Messages werden hierzu in 802.1X-Messages verpackt (EAP over LAN - EAPOL). Ziel dieses Standards ist die portbezogene Zugangskontrolle in Netzwerken (Port-Based Network Access Control).
An einer solchen portbezogenen Authentifizierung sind drei Elemente beteiligt:
der Client (Supplicant), der sich in einem Netzwerk authentifizieren möchte,
der Authentifizierer (Authenticator), der den Authentifizierungsvorgang mit dem Client durchführt, und
der Authentifizierungs-Server (Authentication Server), der dem Authentifizierer die zur Authentifizierung erforderlichen Informationen zur Verfügung stellt.