Inhaltsverzeichnis
Werbung
Referenzhandbuch für den 54 MBit/s Wireless Router WGR614 v6
Der Client sendet ein EAP-Antwortpaket mit der Identität an den Authentifizierungsserver.
3.
Der Access Point gibt daraufhin einen Port frei, über den der Client ausschließlich EAP-Pakete an
den Authentifizierungsserver senden kann. Dieser Port befindet sich auf der verkabelten Seite des
Access Points. Der Access Point blockiert alle anderen Arten von Datenverkehr wie HTTP-,
DHCP- und POP3-Pakete, bis die Identität des Clients durch einen Authentifizierungsserver
(z. B. einen RADIUS-Server) bestätigt wurde.
Der Authentifizierungsserver überprüft die Identität des Clients mit Hilfe eines speziellen
4.
Authentifizierungsalgorithmus. Dabei können digitale Zertifikate oder andere Arten der
EAP-Authentifizierung zum Einsatz kommen.
Der Authentifizierungsserver sendet eine Bestätigungs- oder Ablehnungsnachricht an den Access
5.
Point.
Der Access Point sendet ein EAP-Erfolgspaket (oder Ablehnungspaket) an den Client.
6.
Wenn der Authentifizierungsserver den Client akzeptiert, ändert der Access Point den Status des
7.
Client-Ports zu autorisiert und leitet zusätzliche Daten weiter.
An dieser Stelle ist zu beachten, dass die Software, die den EAP-Typ unterstützt, auf dem
Authentifizierungsserver installiert ist sowie Bestandteil des Betriebssystems bzw. der
Antragstellersoftware der Client-Geräte ist. Der Access Point gibt die 802.1x-Nachrichten lediglich
weiter. Dies bedeutet, dass Sie einen beliebigen EAP-Typ angeben können, ohne deswegen einen
802.1x-kompatiblen Access Point anschaffen zu müssen. Demzufolge können Sie den
EAP-Authentifizierungstyp auch auf Methoden wie Token Cards (Smart Cards), Kerberos,
Einmalpasswörter, Zertifikate und öffentliche Schlüssel erweitern. Selbst wenn neue
Authentifizierungsmethoden entwickelt werden und Ihre Sicherheitsanforderungen sich ändern,
können Sie diese integrieren.
WPA-/WPA2-Schlüsselverwaltung
Bei 802.1x ist die Neuverschlüsselung von Unicast-Schlüsseln optional. 802.11 und 802.1x bieten
zudem keinen Mechanismus zum Ändern des globalen Schlüssels für den Multicast- und
Broadcast-Datenversand. Bei WPA/WPA2 ist die Neuverschlüsselung sowohl für Unicast-Schlüssel als
auch für globale Schlüssel obligatorisch.
Unicast-Schlüssel werden durch das TKIP (Temporal Key Integrity Protocol) für jedes Frame geändert.
Die Änderung wird zwischen dem drahtlosen Client und dem Wireless Access Point synchronisiert.
Änderungen des globalen Schlüssels können bei WPA mit Hilfe des Informationselements vom
Wireless Access Point an die angeschlossenen drahtlosen Clients weitergegeben werden.
802.1x-Authentifizierungsserver, die für einen dynamischen Schlüsselaustausch konfiguriert sind,
können dem Access Point gemeinsam mit der Bestätigungsnachricht einen Sitzungsschlüssel
übermitteln. Der Access Point kann mit dem Sitzungsschlüssel eine EAP-Schlüsselnachricht erstellen,
unterzeichnen und verschlüsseln, die untermittelbar nach der Erfolgsnachricht an den Client gesendet
wird. Der Client kann dann anhand der Schlüsselnachricht die erforderlichen Schlüssel definieren. In
typischen 802.1x-Implementierungen kann der Client Schlüssel so oft wie nötig automatisch ändern,
um das Risiko zu minimieren, dass unerwünschte Eindringlinge genügend Zeit haben, den aktuellen
Schlüssel zu knacken.
D-14
202-10108-01, Juli 2005
Grundlagen drahtloser Netzwerke
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
