802.1X Network Access Control

802.1X, umgangssprachlich Dot1x genannt, eine Arbeitsgruppe innerhalb des 802-Projektes der IEEE für Standards in lokalen Netzen (LAN). Der Themenschwerpunkt dieser Arbeitsgruppe liegt auf Port-basierter Authentisierung und Autorisierung in 802-basierten Netzen.

Wo und wofür kann ich den Standard 802.1X nutzen?

Der Standard 802.1X wird sowohl in klassisch kabelgebundenen als auch kabellosen Netzwerken verwendet. Der Standard hat das Ziel, ungewollte Nutzer und Geräte aus dem Netz fernzuhalten. Daher ist Dot1x eine sinnvolle Ergänzung zur Netztrennung.

802.1X regelt nicht nur, wo und wann “gewollte” Nutzer auf dein Netzwerk zugreifen können, sondern auch, ob „ungewollten Geräte“ überhaupt irgendeine Form des Zugangs bekommen.

Zum Beispiel: Kein Zugriff auf das interne Netzwerk, aber Zugang zum Internet oder ein Netzwerk gefüllt mit Honeypots.

Authentisierung, Authentifizierung und Autorisierung

Die Authentisierung ist der Nachweis der eigenen Identität gegenüber einem dritten.

Die Authentifizierung ist die Prüfung des Identitätsnachweises.

Die Autorisierung ist die Gewährung der rechte aufgrund des Authentifizierungs-Ergebnisses.

Die Kern-Komponenten von 802.1X

Grundlegend besteht eine Authentisierung über 802.1X aus drei Komponenten:

Der Supplicant (dt. Bittsteller): ein Nutzer oder Gerät, die sich authentisieren möchten, um Zugriff zum Netzwerk zu bekommen.
Der Authenticator: häufig ein Switch oder ein WLAN Access Controller (Access Point), der eine Authentisierung des Supplicants fordert.
Der Authentication Server: der AAA-Server (z.B. RADIUS), der die Authentisierung verarbeitet und dem Authenticator mitteilt, welche Maßnahmen für den Supplicant umgesetzt werden sollen (zum Beispiel Access Control Listen (ACLs) und VLANs zuweisen).

Zu beachten ist leider, dass nicht jedes Gerät Dot1x-fähig ist. So sind etwa Netzwerkdrucker häufig außen vor und lassen sich auch nicht durch freie Softwareprojekte 802.1X-fähig machen.

Um diese Problematik zu umgehen, bieten manche Authenticators die Möglichkeit des „MAC-Bypass“: Das betroffene Gerät kann sich mittels seiner MAC-Adresse authentisieren. Es muss jedoch darauf hingewiesen werden, dass man hiermit Gefahr läuft, ein Einfallstor für einen Angreifer mittels MAC-Spoofing zu schaffen.

Das EAP-Framework

Das EAP (Extensible Authentication Protocol) setzt im OSI-Schichtenmodell direkt auf der Datensicherungschicht (Data Link Layer) auf. In Netzen nach 802 begegnet man auch häufig den Abkürzungen EAPoL und EAPoW (für LAN und WLAN).

EAP bietet als Framework viele verschiedenen Authentisierungsmethoden, die man alleine oder flexibel kombinierbar mit einem Authentication Server benutzen kann: Angefangen bei der klassischen Nutzer/Passwort-Authentisierung (MD5-Challenge) über OTP-Challenges (One-Time-Password) bis hin zu TLS und GSM/UMTS Sim-Karten, aber auch Zertifikate oder Kerberos-Tickets.

Ablauf einer 802.1X Authentifizierung

Der Port-Status eines Authenticators bestimmt, ob einem Supplicant der Zugriff auf Dienste im LAN gewährt wird. Der Port beginnt im unautorisierten Zustand. In diesem Zustand verbietet der Port jeglichen ein- und ausgehenden Verkehr, mit Ausnahme von 802.1x-Paketen.

Wenn der Bittsteller erfolgreich authentifiziert wurde, wechselt der Port in den autorisierten Zustand. Damit normalisiert sich der Datenverkehr für den neuen Netzwerkteilnehmer anhand der für ihn geltenden Regeln und Maßnahmen.