WAGO 852-303 Handbuch Seite 103

852-303 8/2-Port 100Base-TX/1000Base-SX/LX
7.3.3 802.1x
Der IEEE 802.1X ist ein IEEE-Standard für portbasierte
Netzwerkzugriffssteuerungen (wobei „Port" hier einen einzelnen Zugriffspunkt
auf eine LAN-Infrastruktur bezeichnet). Dieser Standard ist ein Bestandteil der
IEEE 802.1-Gruppe von Netzwerkprotokollen. Er stellt einen
Authentifizierungsmechanismus für Geräte bereit, die sich mit einem LAN
verbinden möchten, und wird entweder eine Punkt-zu-Punkt-Verbindung
einrichten oder diese verweigern, wenn die Authentifizierung fehlschlägt. Er wird
für die meisten drahtlosen 802.11-Zugriffspunkte eingesetzt und arbeitet auf
Grundlage des EAP („Extensible Authentication Protocol", Erweitertes
Authentifizierungsprotokoll).
802.1X verwendet eine portbasierte Authentifizierung, bei der die
Kommunikation zwischen einem sog. „Supplicant" (Anfragesteller), einem
„Authenticator" (Authentikator) und einem Authentifizierungsserver verwendet
wird. Der Anfragesteller ist zumeist die Software auf einem Client-Gerät, wie
etwa einem Laptop, der Authentikator kann ein drahtgebundener ETHERNET-
Switch oder drahtloser Zugriffspunkt sein und der Authentifizierungsserver ist für
gewöhnlich eine RADIUS („Remote Authentication Dial-In User Service")-
Datenbank.
Der Authentikator agiert als eine Art Wächter für das geschützte Netzwerk. Der
Anfragesteller (z. B. ein Client-Gerät) erhält so lange keinen Zugriff auf die
geschützte Seite des Netzwerks durch den Authentikator, bis seine Identität
authentifiziert wurde. Bei der portbasierten 802.1X-Authentifizierung muss der
Anfragesteller dem Authentikator Anmeldeinformationen bereitstellen, wie etwa
Benutzername und Passwort oder ein digitales Zertifikat, die daraufhin vom
Authentikator zum Authentifizierungsserver zur Verifizierung weitergeleitet
werden. Wenn die Anmeldeinformationen gültig sind (mit den Einträgen in der
Datenbank des Authentifizierungsservers übereinstimmen), erhält der
Anfragesteller (das Client-Gerät) Zugriff auf die Ressourcen auf der geschützten
Netzwerkseite.
Bei Erkennung eines neuen Clients („Supplicant") wird der Port am Switch
(„Authenticator") aktiviert und in den Zustand „unauthorized" (unberechtigt)
versetzt. In diesem Zustand können nur 802.1X-Daten ausgetauscht werden und
anderer Datenverkehr, wie etwa DHCP und HTTP, wird auf der Netzwerkschicht
(Layer 3) blockiert. Der Authentikator sendet eine EAP-Identitätsabfrage an den
Anfragesteller und dieser antwortet mit einem EAP-Antwortpaket, das der
Authentikator zum Authentifizierungsserver weiterleitet. Wenn der
Authentifizierungsserver die Anfrage akzeptiert hat, versetzt der Authentikator
den Port in den Zustand „authorized" (berechtigt) und hebt die Blockade des
Datenverkehrs auf. Meldet sich der Anfragesteller ab, sendet er dabei eine EAP-
Abmeldenachricht an den Authentikator. Dieser versetzt den Port dann wieder in
den Zustand „unauthorized" und blockiert damit erneut alle Nicht-EAP-Daten.
Handbuch
Version 1.3.0
Funktionsbeschreibung 103