
203 Milliarden Euro Schaden entstand der Wirtschaft in Deutschland 2022 durch Cyberangriffe – zu diesem Ergebnis kommt der aktuelle Report
Make IT Secure
802.1X, umgangssprachlich Dot1x genannt, eine Arbeitsgruppe innerhalb des 802-Projektes der IEEE für Standards in lokalen Netzen (LAN). Der Themenschwerpunkt dieser Arbeitsgruppe liegt auf Port-basierter Authentisierung und Autorisierung in 802-basierten Netzen.
Der Standard 802.1X wird sowohl in klassisch kabelgebundenen als auch kabellosen Netzwerken verwendet. Der Standard hat das Ziel, ungewollte Nutzer und Geräte aus dem Netz fernzuhalten. Daher ist Dot1x eine sinnvolle Ergänzung zur Netztrennung.
802.1X regelt nicht nur, wo und wann “gewollte” Nutzer auf dein Netzwerk zugreifen können, sondern auch, ob „ungewollten Geräte“ überhaupt irgendeine Form des Zugangs bekommen.
Zum Beispiel: Kein Zugriff auf das interne Netzwerk, aber Zugang zum Internet oder ein Netzwerk gefüllt mit Honeypots.
Die Authentisierung ist der Nachweis der eigenen Identität gegenüber einem dritten.
Die Authentifizierung ist die Prüfung des Identitätsnachweises.
Die Autorisierung ist die Gewährung der rechte aufgrund des Authentifizierungs-Ergebnisses.
Grundlegend besteht eine Authentisierung über 802.1X aus drei Komponenten:
Zu beachten ist leider, dass nicht jedes Gerät Dot1x-fähig ist. So sind etwa Netzwerkdrucker häufig außen vor und lassen sich auch nicht durch freie Softwareprojekte 802.1X-fähig machen.
Um diese Problematik zu umgehen, bieten manche Authenticators die Möglichkeit des „MAC-Bypass“: Das betroffene Gerät kann sich mittels seiner MAC-Adresse authentisieren. Es muss jedoch darauf hingewiesen werden, dass man hiermit Gefahr läuft, ein Einfallstor für einen Angreifer mittels MAC-Spoofing zu schaffen.
Das EAP (Extensible Authentication Protocol) setzt im OSI-Schichtenmodell direkt auf der Datensicherungschicht (Data Link Layer) auf. In Netzen nach 802 begegnet man auch häufig den Abkürzungen EAPoL und EAPoW (für LAN und WLAN).
EAP bietet als Framework viele verschiedenen Authentisierungsmethoden, die man alleine oder flexibel kombinierbar mit einem Authentication Server benutzen kann: Angefangen bei der klassischen Nutzer/Passwort-Authentisierung (MD5-Challenge) über OTP-Challenges (One-Time-Password) bis hin zu TLS und GSM/UMTS Sim-Karten, aber auch Zertifikate oder Kerberos-Tickets.
Der Port-Status eines Authenticators bestimmt, ob einem Supplicant der Zugriff auf Dienste im LAN gewährt wird. Der Port beginnt im unautorisierten Zustand. In diesem Zustand verbietet der Port jeglichen ein- und ausgehenden Verkehr, mit Ausnahme von 802.1x-Paketen.
Wenn der Bittsteller erfolgreich authentifiziert wurde, wechselt der Port in den autorisierten Zustand. Damit normalisiert sich der Datenverkehr für den neuen Netzwerkteilnehmer anhand der für ihn geltenden Regeln und Maßnahmen.
203 Milliarden Euro Schaden entstand der Wirtschaft in Deutschland 2022 durch Cyberangriffe – zu diesem Ergebnis kommt der aktuelle Report
Welche Rechte darf ein normaler Nutzer in Microsoft Entra Admin Center haben? „So wenig wie möglich, so viel wie nötig“
IT Security funktioniert nur, wenn alle mitmachen: Wirtschaft, Politik, Lehre und Verbraucher. Darum war die Veranstaltung des Campus Schule-Wirtschaft im