802.1X, umgangssprachlich Dot1x genannt, eine Arbeitsgruppe innerhalb des 802-Projektes der IEEE für Standards in lokalen Netzen (LAN). Der Themenschwerpunkt dieser Arbeitsgruppe liegt auf Port-basierter Authentisierung und Autorisierung in 802-basierten Netzen.
Der Standard 802.1X wird sowohl in klassisch kabelgebundenen als auch kabellosen Netzwerken verwendet. Der Standard hat das Ziel, ungewollte Nutzer und Geräte aus dem Netz fernzuhalten. Daher ist Dot1x eine sinnvolle Ergänzung zur Netztrennung.
802.1X regelt nicht nur, wo und wann „gewollte“ Nutzer auf dein Netzwerk zugreifen können, sondern auch, ob „ungewollten Geräte“ überhaupt irgendeine Form des Zugangs bekommen.
Zum Beispiel: Kein Zugriff auf das interne Netzwerk, aber Zugang zum Internet oder ein Netzwerk gefüllt mit Honeypots.
Die Authentisierung ist der Nachweis der eigenen Identität gegenüber einem dritten.
Die Authentifizierung ist die Prüfung des Identitätsnachweises.
Die Autorisierung ist die Gewährung der rechte aufgrund des Authentifizierungs-Ergebnisses.
Grundlegend besteht eine Authentisierung über 802.1X aus drei Komponenten:
Zu beachten ist leider, dass nicht jedes Gerät Dot1x-fähig ist. So sind etwa Netzwerkdrucker häufig außen vor und lassen sich auch nicht durch freie Softwareprojekte 802.1X-fähig machen.
Um diese Problematik zu umgehen, bieten manche Authenticators die Möglichkeit des „MAC-Bypass“: Das betroffene Gerät kann sich mittels seiner MAC-Adresse authentisieren. Es muss jedoch darauf hingewiesen werden, dass man hiermit Gefahr läuft, ein Einfallstor für einen Angreifer mittels MAC-Spoofing zu schaffen.
Das EAP (Extensible Authentication Protocol) setzt im OSI-Schichtenmodell direkt auf der Datensicherungschicht (Data Link Layer) auf. In Netzen nach 802 begegnet man auch häufig den Abkürzungen EAPoL und EAPoW (für LAN und WLAN).
EAP bietet als Framework viele verschiedenen Authentisierungsmethoden, die man alleine oder flexibel kombinierbar mit einem Authentication Server benutzen kann: Angefangen bei der klassischen Nutzer/Passwort-Authentisierung (MD5-Challenge) über OTP-Challenges (One-Time-Password) bis hin zu TLS und GSM/UMTS Sim-Karten, aber auch Zertifikate oder Kerberos-Tickets.
Der Port-Status eines Authenticators bestimmt, ob einem Supplicant der Zugriff auf Dienste im LAN gewährt wird. Der Port beginnt im unautorisierten Zustand. In diesem Zustand verbietet der Port jeglichen ein- und ausgehenden Verkehr, mit Ausnahme von 802.1x-Paketen.
Wenn der Bittsteller erfolgreich authentifiziert wurde, wechselt der Port in den autorisierten Zustand. Damit normalisiert sich der Datenverkehr für den neuen Netzwerkteilnehmer anhand der für ihn geltenden Regeln und Maßnahmen.
Ein Microsoft-Sicherheitsupdate hat unerwartet eine neue Sicherheitslücke geschaffen, die Unternehmen in Gefahr bringt. Diese nicht dokumentierte Nebenwirkung könnte dazu führen, dass Windows-Updates von Nutzern blockiert und Systeme von zukünftigen Sicherheitsupdates abgeschnitten werden. Ein potentieller Albtraum für IT-Sicherheit und Geschäftsführung.
Zwei kritische Schwachstellen in Spotfires KI-Analyseplattform können von Hackern ausgenutzt werden, um Unternehmen aus Industrie, Finanzsektor und Forschung zu bedrohen. Experten fordern CEO, CIO und CISO dazu auf, diese Risiken ernst zu nehmen und strategisch zu agieren.
Eine Sicherheitslücke im WordPress-Plug-in „SureTriggers“ gefährdet über 100.000 Unternehmens-Webseiten. Der Beitrag beleuchtet die Risiken und gibt Handlungsempfehlungen für effektive IT-Sicherheitsstrategien.
