802.1X: Was genau ist es in Bezug auf WPA und EAP?

32568
Jason

Ich verstehe 802.1X als eine Art Port-Authentifizierungskontrolle. Als ich jedoch die Verschlüsselungseinstellungen für mein WLAN auscheckte, fand ich 802.1X zusammen mit WPA2, WPA und WEP in einer Dropdown-Liste. Ich sehe jedoch nicht, wie es für diese eine Alternative sein kann.

Könnte jemand bitte in Laien erklären, wie sich 802.1X in das EAP-Protokoll einfügt? Ich weiß nur, dass 802.1X zwei logische Port-Entitäten für jeden physischen Port bereitstellt. Einer davon dient der Authentifizierung, und ich denke, der andere ist für die eigentlichen EAP-Nachrichten bestimmt.

19

1 Antwort auf die Frage

36
Spiff

Am nächsten kann ich den Begründungen der Laien entsprechen, etwas vereinfacht, und der Einfachheit halber auf WPA2 beschränkt:

802.1X ist KEIN Verschlüsselungstyp. Es handelt sich im Wesentlichen nur um einen Authentifizierungsmechanismus pro Benutzer (z. B. Benutzername und Kennwort).

WPA2 ist ein Sicherheitsschema, das zwei Hauptaspekte Ihrer drahtlosen Sicherheit festlegt:

  • Authentifizierung: Sie können zwischen PSK ("Personal") oder 802.1X ("Enterprise") wählen.
  • Verschlüsselung: Immer AES-CCMP.

Wenn Sie WPA2-Sicherheit in Ihrem Netzwerk verwenden, haben Sie zwei Authentifizierungsoptionen: Sie müssen entweder ein einziges Kennwort für das gesamte Netzwerk verwenden, das jeder kennt (dies wird als Pre-Shared Key oder PSK bezeichnet), oder Sie verwenden 802.1X um jeden Benutzer zu zwingen, seine eigenen eindeutigen Anmeldeinformationen (z. B. Benutzername und Kennwort) zu verwenden.

Unabhängig davon, für welchen Authentifizierungstyp Sie Ihr Netzwerk eingerichtet haben, verwendet WPA2 immer ein Schema namens AES-CCMP, um Ihre Daten aus Gründen der Vertraulichkeit drahtlos zu verschlüsseln und verschiedene andere Arten von Angriffen abzuwehren.

802.1X ist "EAP über LANs" oder EAPoL. EAP steht für "Extensible Authentication Protocol", also ein Plug-In-Schema für verschiedene Authentifizierungsmethoden. Einige Beispiele:

  • Möchten Sie Ihre Benutzer mit Benutzernamen und Passwörtern authentifizieren? Dann ist "PEAP" ein guter EAP-Typ.
  • Möchten Sie Ihre Benutzer über Zertifikate authentifizieren? Dann ist "EAP-TLS" ein guter EAP-Typ.
  • Sind die Geräte in Ihrem Netzwerk alle GSM-Smartphones mit SIM-Karten? Dann können Sie "EAP-SIM" verwenden, um eine Authentifizierung im GSM-SIM-Kartenformat durchzuführen, um in Ihr Netzwerk zu gelangen. etc. etc.

Wenn Sie Ihren WLAN-Router für die Verwendung von 802.1X eingerichtet haben, muss er über eine Möglichkeit verfügen, Ihre Benutzer über einen EAP-Typ zu authentifizieren. Einige Router verfügen möglicherweise über die Möglichkeit, eine Liste von Benutzernamen und Kennwörtern direkt auf dem Router einzugeben, und der Router weiß, wie er die gesamte Authentifizierung von alleine durchführt. In den meisten Fällen müssen Sie jedoch wahrscheinlich RADIUS konfigurieren. RADIUS ist ein Protokoll, das es Ihnen ermöglicht, Ihren Benutzernamen und Ihre Kennwortdatenbank auf einem zentralen Server zu speichern. Sie müssen also nicht jedes Mal, wenn Sie einen Benutzer hinzufügen oder löschen, Änderungen an jedem einzelnen drahtlosen Router vornehmen, oder ein Benutzer ändert sein Kennwort oder etwas. Drahtlose Router, die 802.1X betreiben, wissen im Allgemeinen nicht, wie sie Benutzer direkt authentifizieren. Sie wissen lediglich, wie sie zwischen 802.1X und RADIUS ein Gateway bilden, damit die drahtlosen Client-Computer tatsächlich von einem RADIUS-Server im Netzwerk authentifiziert werden.

Wenn die Benutzeroberfläche Ihres Wireless-Routers "802.1X" in einer Liste von Verschlüsselungstypen enthält, bedeutet dies wahrscheinlich "802.1X mit dynamischem WEP". Dies ist ein altes Schema, bei dem 802.1X für die Authentifizierung und pro Benutzer pro Sitzung verwendet wird WEP-Schlüssel werden im Rahmen des Authentifizierungsprozesses dynamisch generiert. Daher ist WEP die Verschlüsselungsmethode.

Aktualisieren Sie zwei logische Ports

Zur Beantwortung Ihrer Frage nach zwei Entitäten mit logischen Ports gibt es in der 802.1X-Spezifikation zwei verschiedene Konzepte, auf die Sie sich möglicherweise beziehen.

Erstens definiert die 802.1X-Spezifikation Client- und Serverfunktionen für das 802.1X-Protokoll, nennt sie jedoch Supplicant bzw. Authenticator. In Ihrem WLAN-Client oder Ihrem WLAN-Router verfügen Sie über Software, die die Rolle des 802.1X Supplicant oder Authenticator übernimmt. Diese Software, die diese Rolle ausführt, wird von der Spezifikation als Port Access Entity oder PAE bezeichnet.

Zweitens erwähnt die Spezifikation, dass innerhalb Ihres drahtlosen Client-Rechners eine Möglichkeit besteht, dass Ihre 802.1X Supplicant-Software auf Ihre drahtlose Schnittstelle zugreifen kann, um EAP-Pakete zu senden und zu empfangen, um eine Authentifizierung durchzuführen, selbst wenn keine andere Netzwerksoftware aktiviert ist Ihr System darf die drahtlose Schnittstelle noch verwenden (da der Netzwerkschnittstelle erst vertraut wird, wenn sie authentifiziert wurde). Das seltsame technische Gesetz der IEEE-Spezifikationsdokumente besagt, dass es einen logischen "unkontrollierten Port" gibt, an den die 802.1X-Clientsoftware angeschlossen ist, und einen "kontrollierten Port", an den sich der Rest des Netzwerkstacks anschlägt. Wenn Sie zum ersten Mal versuchen, eine Verbindung zu einem 802.1X-Netzwerk herzustellen, ist nur der unkontrollierte Port aktiviert, während der 802.1X-Client seine Aufgabe erfüllt. Sobald die Verbindung authentifiziert wurde (und z. B.

Lange Antwort, nicht so sehr für Laien: Mit
IEEE 802.1X können Sie die Authentifizierung pro Benutzer oder pro Gerät für drahtgebundene oder drahtlose Ethernet-LANs (und möglicherweise andere Netzwerkschemata der IEEE 802-Familie) durchführen. Ursprünglich für drahtgebundene Ethernet-Netzwerke entwickelt und eingesetzt, wurde es später von der Arbeitsgruppe IEEE 802.11 (Wireless LAN) als Teil des 802.11i-Sicherheitszusatzes zu 802.11 angenommen und dient als Authentifizierungsmethode pro Benutzer oder pro Gerät für 802.11-Netzwerke.

Wenn Sie die 802.1X-Authentifizierung in Ihrem WPA- oder WPA2-Netzwerk verwenden, verwenden Sie weiterhin die Geheimhaltungscodes von WPA oder WPA2 und die Algorithmen für die Nachrichtenintegrität. Im Fall von WPA verwenden Sie weiterhin TKIP als Geheimhaltungsverschlüsselung und MIChael als Nachrichtenüberprüfung. Im Fall von WPA2 verwenden Sie AES-CCMP, das sowohl eine Geheimhaltungsverschlüsselung als auch eine Nachrichtenintegritätsprüfung ist.

Der Unterschied bei der Verwendung von 802.1X ist, dass Sie keinen netzwerkweiten Pre-Shared Key (PSK) mehr verwenden. Da Sie nicht für alle Geräte ein einziges PSK verwenden, ist der Datenverkehr jedes Geräts sicherer. Wenn Sie mit PSK den PSK kennen und den Schlüssel-Handshake erfassen, wenn ein Gerät dem Netzwerk beitritt, können Sie den gesamten Datenverkehr dieses Geräts entschlüsseln. Bei 802.1X generiert der Authentifizierungsprozess jedoch sicher Schlüsselmaterial, das zum Erstellen eines eindeutigen PMK (Pairwise Master Key) für die Verbindung verwendet wird. Daher kann ein Benutzer den Datenverkehr eines anderen Benutzers nicht entschlüsseln.

802.1X basiert auf EAP, dem Extensible Authentication Protocol, das ursprünglich für PPP entwickelt wurde und in VPN-Lösungen, die PPP innerhalb des verschlüsselten Tunnels verwenden (LT2P-over-IPSec, PPTP usw.), noch häufig verwendet wird. In der Tat wird 802.1X im Allgemeinen als "EAP über LANs" oder "EAPoL" bezeichnet.

EAP stellt einen generischen Mechanismus zum Transport von Authentifizierungsnachrichten (Authentifizierungsanforderungen, Herausforderungen, Antworten, Erfolgsmeldungen usw.) bereit, ohne dass die EAP-Schicht die Details der jeweils verwendeten Authentifizierungsmethode kennen muss. Es gibt eine Reihe verschiedener "EAP-Typen" (Authentifizierungsmechanismen, die zum Einfügen in EAP vorgesehen sind), um die Authentifizierung über Benutzername und Kennwort, Zertifikate, Token-Karten usw. durchzuführen.

Aufgrund der Geschichte von EAP mit PPP und VPN war es schon immer ein einfaches Gateway zu RADIUS. Aus diesem Grund ist es typisch (aber technisch nicht erforderlich), dass 802.11-APs, die 802.1X unterstützen, einen RADIUS-Client enthalten. Daher kennen APs normalerweise weder den Benutzernamen oder das Kennwort eines Benutzers noch die Verarbeitung verschiedener EAP-Authentifizierungstypen. Sie wissen lediglich, wie sie eine generische EAP-Nachricht von 802.1X aufnehmen, in eine RADIUS-Nachricht umwandeln und an den RADIUS-Server weiterleiten . Der AP ist also nur ein Durchgang für die Authentifizierung und keine Partei. Die echten Endpunkte der Authentifizierung sind normalerweise der drahtlose Client und der RADIUS-Server (oder ein Upstream-Authentifizierungsserver, auf den die RADIUS-Server-Gateways zugreifen).

Mehr Geschichte als Sie wollten wissen: Als 802.11 zum ersten Mal erstellt wurde, war die einzige Authentifizierungsmethode, die unterstützt wurde, eine Form der Authentifizierung mit gemeinsamem Schlüssel mit 40- oder 104-Bit-WEP-Schlüsseln, und WEP war auf 4 Schlüssel pro Netzwerk beschränkt. Alle Benutzer oder Geräte, die mit Ihrem Netzwerk verbunden sind, mussten einen der 4 Kurzschlüssel für das Netzwerk kennen, um einsteigen zu können. Im Standard gab es keine Möglichkeit, jeden Benutzer oder jedes Gerät separat zu authentifizieren. Die Art und Weise, wie die Authentifizierung mit gemeinsam genutzten Schlüsseln durchgeführt wurde, ermöglichte einfache "Offline-Orakel" -Anschläge zum schnellen Erraten von Schlüsselsätzen.

Viele Anbieter von 802.11-Geräten der Unternehmensklasse haben erkannt, dass eine Authentifizierung pro Benutzer (dh Benutzername und Kennwort oder Benutzerzertifikat) oder pro Gerät (Maschinenzertifikat) erforderlich war, um 802.11 zu einem Erfolg auf dem Unternehmensmarkt zu machen. Obwohl 802.1X noch nicht ganz fertiggestellt war, nahm Cisco eine Entwurfsversion von 802.1X, beschränkte sich auf einen EAP-Typ (eine Form von EAP-MSCHAPv2), ließ dynamische WEP-Schlüssel pro Gerät und pro Sitzung erzeugen und erstellt was sie "Lightweight EAP" oder LEAP nannten. Andere Anbieter haben ähnliche Dinge getan, jedoch mit unbeholfeneren Namen wie "802.1X mit dynamischem WEP".

Die Wi-Fi Alliance (die Wireless Ethernet Compatibility Alliance oder "WECA") sah die zu Recht schlechte Repräsentanz von WEP und sah die Fragmentierung des Sicherheitsschemas in der Branche. Sie konnte jedoch nicht warten, bis die IEEE 802.11-Arbeitsgruppe beendet ist Da 802.1X in 802.11i übernommen wurde, hat die Wi-Fi Alliance Wi-Fi Protected Access (WPA) entwickelt, um einen interoperablen herstellerübergreifenden Standard zu definieren, der die Fehler in WEP als Geheimhaltungsverschlüsselung (als Ersatz für TKIP) und als Fehler behebt bei der WEP-basierten Authentifizierung mit gemeinsamem Schlüssel (Erstellen von WPA-PSK als Ersatz), und um 802.1X für die Benutzer- oder Geräteauthentifizierung zu verwenden.

Die IEEE 802.11i-Taskgruppe beendete dann ihre Arbeit, wählte AES-CCMP als Geheimhaltungsverschlüsselung der Zukunft und übernahm 802.1X mit bestimmten Einschränkungen, um die Sicherheit in drahtlosen Netzwerken sowohl für die Benutzer- als auch für die Geräteauthentifizierung für 802.11 zu gewährleisten Wireless LANs. Im Gegenzug hat die Wi-Fi Alliance WPA2 entwickelt, um die Interoperabilität zwischen 802.11i-Implementierungen zu bestätigen. (Die Wi-Fi Alliance ist eine echte Interop-Zertifizierungs- und Marketingorganisation und zieht es vor, die IEEE als echte WLAN-Normungsbehörde zuzulassen. Wenn die IEEE jedoch zu verstecken ist und sich nicht schnell genug für die Branche bewegt, Fi Alliance wird vor dem IEEE einspringen und standardwerkliche Arbeit verrichten. In der Regel wird der entsprechende IEEE-Standard später verschoben.)

Hey Spiff, könnten Sie den Teil, in dem ich las, über die Erstellung von zwei logischen Ports durch 802.1x lesen, mit Ihrem Laien beantworten? Vielen Dank Jason vor 12 Jahren 0
@ Jason Okay, aktualisiert. Übrigens ist 802.1X eine eigenständige Spezifikation (kein Nachtrag zu einer anderen Spezifikation). In IEEE-Namenskonventionen erhält es also einen Großbuchstaben. Es ist also 802.1X, nicht 802.1x. Jedes Mal, wenn Sie eine Dokumentation oder einen Artikel sehen, der dies nicht richtig versteht, nehmen Sie dies als Zeichen für Schlamperei und Unaufmerksamkeit im Detail und lassen Sie das Einfluss darauf haben, wie viel Vertrauen Sie in diese Dokumentation oder diesen Artikel stecken. Spiff vor 12 Jahren 3
WPA2 / Enterprise ist also AES-Verschlüsselung und 802.1X ist WEP-Verschlüsselung. Obwohl beide beide 802.1X für die Authentifizierung verwenden. Sehr gründlich dokumentiert mit etwas Geschichte dahinter. Vielen Dank @Spiff, ich wünschte, ich könnte zweimal eine Bestätigung abgeben. Brain2000 vor 8 Jahren 0
@ Brain2000. Vorsicht, Ihre übertriebene Vereinfachung ist sehr irreführend. Es mag sein, dass einige APs eine beschissene Benutzeroberfläche haben, die irreführend nur "802.1X" sagt, wenn sie wirklich "802.1X mit dynamischem WEP" meinen. Aber 802.1X ist ein erweiterbares Authentifizierungsprotokoll für LANs, das nicht 802.11-spezifisch ist, geschweige denn WEP. Spiff vor 8 Jahren 0
@Spiff Sie haben Recht, es ist eine beschissene Benutzeroberfläche, die "WPA2 / Enterprise" und "802.1X" in derselben Dropdown-Liste anzeigt. Das ist ja das Thema dieser ganzen Frage. Ja, ich denke, was ich geschrieben habe, ist genau das, was ich schreiben wollte. Es ist keine Vereinfachung. Es ist eine beschissene Benutzeroberfläche, wie Sie sagen. Brain2000 vor 8 Jahren 0
Übrigens sollte "Dynamic WEP" heutzutage auch als unsicher angesehen werden. Es wurde entwickelt, als WEP nicht so leicht zu knacken war wie heute. TKIP jedoch, während es Angriffe gibt, ist immer noch ziemlich sicher. Yuhong Bao vor 7 Jahren 0
Besser als Wikipedia Sky vor 5 Jahren 0

Verwandte Probleme