Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Funktionsweise 802.1X Authentifizierung

Frage Netzwerke LAN, WAN, Wireless

Mitglied: teret4242

teret4242 (Level 1) - Jetzt verbinden

15.06.2013 um 09:16 Uhr, 4735 Aufrufe, 12 Kommentare, 5 Danke

Hallo,

bin gerade am erarbeiten der Funktionsweise einer 802.1X Authentifizierung.
Da allerdings meine Englisch Kenntnisse nicht gerade die besten sind, sind die Englischen Artikel die im Netz zu finden sind sehr schwer bis gar nicht für mich zu verstehen.

Das was ich bis jetzt verstanden habe, bin ich zu folgender Erkenntniss gekommen:


Supplicant (WLAN-Client) <--> Authenticator (AP) <--> Authentication Server (RADIUS)

1. Der Supplicant kommuniziert mit dem Authenticator über das Protokoll EAPoW* in dem die EAP-Pakete eingekapselt werden.
2. Anschließend kommuniziert der Authenticator mit dem Authentication Server über das Protokoll RADIUS in dem die EAP-Pakete (Anfragen) vom Supplicant eingekapselt sind.
3. Der RADIUS-Server prüft die Anfrage (Benutzername/Passwort) und teilt dem Supplicant das Ergebnis mit.
4. Daraufhin gewährt bzw. verweigert der Authenticator dem Supplicant den Zugang zum Netzwerk.

Stimmt das soweit??


EAPoW* = Man liest häufig von EAPoL, würde das in meiner Konstellation auch so heißen, oder nur wenn Switches o.ä. eingesetzt werden? Bei mir wäre es ja ein Access-Point...



Mitglied: matthew77
15.06.2013 um 10:38 Uhr
Hallo,

das ist soweit richtig, EAPoW steht für EAP over Wlan und das ist in deinem Fall das richtige encapsulation weil du ein Access Point als Authenticator hast. Ist der Authenticator z.B. ein Switch, der 802.1X Authentifizierung machen kann, dann verbindet man Supplicant und Authenticator über ein LAN-Kabel und man spricht von EAPoL (EAP over LAN).

http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...

http://www.tecchannel.de/netzwerk/wlan/2023084/ieee_802_1x_zugriffskont ...

Gruß
m
Bitte warten ..
Mitglied: teret4242
15.06.2013 um 21:04 Uhr
Zitat von matthew77:
Hallo,

das ist soweit richtig, EAPoW steht für EAP over Wlan und das ist in deinem Fall das richtige encapsulation weil du ein
Access Point als Authenticator hast. Ist der Authenticator z.B. ein Switch, der 802.1X Authentifizierung machen kann, dann
verbindet man Supplicant und Authenticator über ein LAN-Kabel und man spricht von EAPoL (EAP over LAN).

http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...

http://www.tecchannel.de/netzwerk/wlan/2023084/ieee_802_1x_zugriffskont ...

Gruß
m

Super, danke!

Mal angenommen, es würde das Verfahren PEAP/MS-CHAPv2 eingesetzt werden.
Wie würde das dann ablaufen und welches Protokoll steckt dann in welchem drin?

Versteh auch nicht ganz, wie dann die Verschlüsselung (WPA2/AES) zwischen Access-Point und WLAN-Client aufgebaut wird. Oder ist für die Verschlüsselung das ganze Verfahren PEAP/MS-CHAPv2 notwendig?

Irgendwie verwirrt mich das ganze...

Über eine Hilfe würde ich mich echt sehr freuen!


Gruß
Bitte warten ..
Mitglied: matthew77
16.06.2013 um 00:57 Uhr
Also, PEAP ist eine EAP-Methode (es gibt noch EAP-TLS, EAP-TTLS), bei der eine SSL/TLS-Tunnel zwischen Client und Radiusserver aufgebaut wird, das nennt man die äussere Verschlüsselung oder der äussere Tunnel, innerhalb dieses sicheren Tunnels wird dann eine weitere EAP Verbindung (der innere Tunnel) mit den möglichen EAP Authentisierungstypen aufgebaut, wobei zur Zeit nur MSCHAPv2 zur Verfügung steht, wenn PEAP als EAP-Methode eingesetzt wird.

Für den Schlüsselaustausch zwischen Wlan-Client und AP wird ein MasterKey ausgehandelt, mit dem ein symmetrischer Schlüssel dynamisch generiert und ausgetauscht wird und die Kommunikation zwischen den beiden verschlüsselt.


http://wlan.uni-regensburg.de/wlan8021x.py

http://www.qucosa.de/fileadmin/data/qucosa/documents/5153/data/WLAN.pdf

Gruß
m
Bitte warten ..
Mitglied: teret4242
16.06.2013, aktualisiert um 04:58 Uhr
Zitat von matthew77:
Also, PEAP ist eine EAP-Methode (es gibt noch EAP-TLS, EAP-TTLS), bei der eine SSL/TLS-Tunnel zwischen Client und Radiusserver
aufgebaut wird, das nennt man die äussere Verschlüsselung oder der äussere Tunnel, innerhalb dieses sicheren
Tunnels wird dann eine weitere EAP Verbindung (der innere Tunnel) mit den möglichen EAP Authentisierungstypen aufgebaut,
wobei zur Zeit nur MSCHAPv2 zur Verfügung steht, wenn PEAP als EAP-Methode eingesetzt wird.

Würde das dann also bedeuten, dass das Protokoll "PEAP" dafür verwendet wird, um den SSL/TLS-Tunnel zwischen Client und RADIUS-Server aufzubauen und das Protokoll "MS-CHAPv2" hingegen beschreibt wie sich der Benutzer authentifizieren soll. In dem Fall mit Benutzername/Passwort. Wäre dies so richtig?

Wenn ja, der Client kommuniziert ja nur mit dem Access-Point direkt nicht aber mit dem RADIUS-Server. Daher packt der Access-Point die Pakete die via EAPoW vom Client kommen in das Protokoll RADIUS um und schickt sie an den RADIUS-Server. Da ja aber ein SSL/TLS-Tunnel zwischen Client und RADIUS-Server besteht kann ja der Access-Point nie in die Pakete reinschauen? Oder besteht zu dieser Zeit der SSL/TLS-Tunnel zwischen Client und RADIUS-Server noch gar nicht?


Gruß
Bitte warten ..
Mitglied: matthew77
16.06.2013 um 08:16 Uhr
Ja, EAP-PEAP gehört zu den hybrid-authentication-method, d.h. eine 2 stufige Authentifizierung.
Zuerst wird ein TLS-Kanal aufgebaut und innerhalb dieses Kanals erfolgt die Authentifizierung mittels MSCHAPv2.

Der AP muss auch nicht in die Pakete reinschauen, EAPoW ist auf Layer 2 und beinhaltet unter anderem die PEAP und TLS Daten, die EAPoW Pakete werden wiederum in ein WLAN 802.11 oder Ethernet 802.3-Frame eingebettet, vereinfacht sieht das so aus:

PEAP
EAPoW
WLAN / Ethernet

d66095e08d19a46b15e3cc7ae8a58513 - Klicke auf das Bild, um es zu vergrößern

Gruß
m
Bitte warten ..
Mitglied: matthew77
16.06.2013 um 08:35 Uhr
So in etwa sieht das Paket aus .

{ WLAN oder Ethernet [ EAPoW oder EAPoL ( EAP < TLS > ) ] }
Bitte warten ..
Mitglied: teret4242
16.06.2013, aktualisiert um 09:39 Uhr
Zitat von matthew77:
So in etwa sieht das Paket aus .

{ WLAN oder Ethernet [ EAPoW oder EAPoL ( EAP < TLS > ) ] }

Vielen Dank, deine Antworten sind echt Top!

Was mir gerade noch eingefallen ist, wird dann der SSL/TLS-Tunnel von PEAP nur solange verwendet, bis der Benutzer authentifiziert ist und der Access-Point weiß, ob er den Port freigeben bzw. verweigern soll?

Wenn diese Information der Access-Point erhalten hat, läuft dann die Verbindung nur noch AES verschlüsselt (bei WPA2) über den Access-Point?


Gruß


PS: Hab jetzt schon öfters gelsen, dass wenn der EAP-Typ "PEAP" gemeint ist, dann schreiben viele von "EAP-PEAP" ... aber wäre dies nicht falsch, müsste es nicht einfach nur "PEAP" heißen, da ja "EAP" schon bei "PEAP" mitdrin steckt?
Bitte warten ..
Mitglied: aqui
16.06.2013 um 13:18 Uhr
Du musst aufpassen das du hier nicht Äpfel mit Birnen vergleichst !
Die reine WLAN Verschlüsselung hat nichts mit der Benutzer Authentisierung zu tun ! Das sind 2 paar Schuhe.
Das eine handelt der AP mit dem Client direkt aus, das andere klärt der AP mit dem Radius Server ob dieser User ins Netzwerk darf oder nicht.
2 getrennte Prozesse also.
Bitte warten ..
Mitglied: teret4242
16.06.2013 um 13:33 Uhr
Zitat von aqui:
Du musst aufpassen das du hier nicht Äpfel mit Birnen vergleichst !
Die reine WLAN Verschlüsselung hat nichts mit der Benutzer Authentisierung zu tun ! Das sind 2 paar Schuhe.
Das eine handelt der AP mit dem Client direkt aus, das andere klärt der AP mit dem Radius Server ob dieser User ins Netzwerk
darf oder nicht.
2 getrennte Prozesse also.

Okay, wird dann die Verschlüsselung vom AP zwischen Client und AP ERST aufgebaut, nachdem die Authentifizierung über den RADIUS-Server abgeschlossen ist?
Bitte warten ..
Mitglied: aqui
16.06.2013, aktualisiert um 14:03 Uhr
Jein... In der Phase 1 identifiziert der Client die Security Policy des APs über dessen Beacon oder nachdem er einen Probe Request gesendet hat mit der Probe Response des APs.
Daraufhin sendet der Client einen Association Request an den AP und der antwortet mit einem Association Response. All das ist noch Standard Open Authentication.
Je nach Security Policy Information Field sendet der AP ein "Request Identity" an den Client (Supplicant) was der AP (Authenticator) dann an den Radius forwardet. Nach dessen Antwort wird dann ein Master Key generiert und der Radius schickt ein "Accept".
Daraus wird dann in einem 4 Way Handshaking der Session Key berechnet und die Verbindung verschlüsselt.
Es greift zwar etwas ineinander die Prozesse sind aber dennoch getrennt zu betrachten.
Nimm dir mal einen Wireshark Sniffer und sniffer das mal mit auf dem WLAN Interface, dort sieht man es dann recht detailiert !
Bitte warten ..
Mitglied: matthew77
17.06.2013, aktualisiert um 12:14 Uhr
Im prinzip ist das vergleichbar mit eine HTTPS-Verbindung, der Client und Server tauschen Zertifikate aus: Es wir ein SSL-Kanal aufgebaut (asymmetrische Verschlüsselung) dann wird in diesem Kanal der generierte symmetrische Schlüssel zwischen Client und Server ausgetauscht (symmetrische Verschlüsselung), mit dem der Rest der Kommunikation ver- und entschlüsselt wird.
Und bei PEAP baut WlanClient mit dem Master-Zertifikat (ca.crt) eine SSL Verbindung zum RadiusServer auf, damit 2 Dinge abhörsicher übertragen werden können, erstens die Authentifizierung eines Benutzers, da kommt MSCHAP ins Spiel und zweitens die Übertragung eines vom RadiusServer generierten Schlüssel, der sog. Master-Key. Der Master-Key wird also vom Server generiert und zum WlanClient transportiert.

Der WlanClient und der RadiusServer leiten nun vom Master-Key einen weiteren Schlüssel ab, der Pairwise Master Key (PMK).
Der RadiusServer schickt nun den Pairwise Master Key zum AccessPoint, Jetzt sind der WlanClient, AP und der RadiusServer im Besitz vom PMK-Schlüssel.

Danach wird aus dem PMK-Schlüssel in einem Vier-Wege-Handshake-Verfahren zwischen dem WlanClient und dem AP der Pairwise Transient Keys (PTK) für die Verschlüsselung der Kommunikation abgeleitet. Der PTK selbst besteht aber aus mehreren Teilschlüsseln, die letzendlich die Kommunikation zwischen WlanClient und AP verschlüsseln.

Das sind :

KCK
KEK
TK (verschlüsselt die Daten)
und GTK (um multicast/broadcast zu verschlüsseln)

Welche Rolle nun TKIP oder CCMP/AES dabei spielen, ist dass sie die Stärke des TK (Temporal Key) beeinflussen. Der TK wird alle paar Minuten erneuert.

Hier sind 2 gute Seiten dazu:

http://www.tldp.org/HOWTO/8021X-HOWTO/intro.html

http://www.itwissen.info/definition/lexikon/PTK-pairwise-transient-key. ...


Gruß
m
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
802.1X-Authentifizierung
gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

LAN, WAN, Wireless
Access Point für 802.1X Authentifizierung
gelöst Frage von technikneulingLAN, WAN, Wireless6 Kommentare

Hallo, ich hoffe mir kann hier jemand helfen. Und zwar studiere ich momentan an einer Universität, und nutze in ...

Windows Server
802.1x und NAP - Funktionsweise EAP-Quarantäneerzwingungsclient
gelöst Frage von cuilsterWindows Server4 Kommentare

Hallo, zum Bergfest wieder mal ne harte Nuss Ich versuche es mal zu Formulieren. Basis ist eine 802.1x-Infrastruktur mit ...

Windows Netzwerk
RADIUS 802.1x Geräte Authentifizierung
gelöst Frage von CloudyWindows Netzwerk3 Kommentare

Hallo, Ich habe hier ein kleines Problem bei der Konfiguration meines neuen RADIUS Servers. Ich möchte, dass sich alle ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 6 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 13 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 15 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 18 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...