Werbung
106 Konfiguration im Web-Based-Management-System (WBM)Industrial-Managed-Switches
9.3
Sicherheit (Security)
9.3.1
802.1X
9.3.1.1
Kommunikationsstandard IEEE 802.1X
Der IEEE 802.1X ist ein IEEE-Standard für port-basierte
Netzwerkzugriffssteuerungen (wobei „Port" hier einen einzelnen Zugriffspunkt auf
eine LAN-Infrastruktur bezeichnet). Dieser Standard ist ein Bestandteil der IEEE
802.1-Gruppe von Netzwerkprotokollen. Er stellt einen
Authentifizierungsmechanismus für Geräte bereit, die sich mit einem LAN
verbinden möchten, und wird entweder eine Punkt-zu-Punkt-Verbindung
einrichten oder diese verweigern, wenn die Authentifizierung fehlschlägt. Er wird
für die meisten drahtlosen 802.11-Zugriffspunkte eingesetzt und arbeitet auf
Grundlage des EAP („Extensible Authentication Protocol", Erweitertes
Authentifizierungsprotokoll).
IEEE 802.1X verwendet eine port-basierte Authentifizierung, bei der die
Kommunikation zwischen einem sog. „Supplicant" (Anfragesteller), einem
„Authenticator" (Authentikator) und einem Authentifizierungsserver verwendet
wird. Der Anfragesteller ist zumeist die Software auf einem Client-Gerät, wie etwa
einem Laptop, der Authentikator kann ein drahtgebundener ETHERNET-Switch
oder drahtloser Zugriffspunkt sein und der Authentifizierungsserver ist für
gewöhnlich eine RADIUS („Remote Authentication Dial-In User Service")-
Datenbank.
Der Authentikator agiert als eine Art Wächter für das geschützte Netzwerk. Der
Anfragesteller (z. B. ein Client-Gerät) erhält so lange keinen Zugriff auf die
geschützte Seite des Netzwerks durch den Authentikator, bis seine Identität
authentifiziert wurde. Bei der port-basierten 802.1X-Authentifizierung muss der
Anfragesteller dem Authentikator Anmeldeinformationen bereitstellen, wie etwa
Benutzername und Passwort oder ein digitales Zertifikat, die daraufhin vom
Authentikator zum Authentifizierungsserver zur Verifizierung weitergeleitet
werden. Wenn die Anmeldeinformationen gültig sind (mit den Einträgen in der
Datenbank des Authentifizierungsservers übereinstimmen), erhält der
Anfragesteller (das Client-Gerät) Zugriff auf die Ressourcen auf der geschützten
Netzwerkseite.
Bei Erkennung eines neuen Clients („Supplicant") wird der Port am Switch
(„Authenticator") aktiviert und in den Zustand „unauthorized" (unberechtigt)
versetzt. In diesem Zustand können nur 802.1X-Daten ausgetauscht werden und
anderer Datenverkehr, wie etwa DHCP und HTTP, wird auf der Netzwerkschicht
(Layer 3) blockiert. Der Authentikator sendet eine EAP-Identitätsabfrage an den
Anfragesteller und dieser antwortet mit einem EAP-Antwortpaket, das der
Authentikator zum Authentifizierungsserver weiterleitet. Wenn der
Authentifizierungsserver die Anfrage akzeptiert hat, versetzt der Authentikator
den Port in den Zustand „authorized" (berechtigt) und hebt die Blockade des
Datenverkehrs auf. Meldet sich der Anfragesteller ab, sendet er dabei eine EAP-
Abmeldenachricht an den Authentikator. Dieser versetzt den Port dann wieder in
den Zustand „unauthorized" und blockiert damit erneut alle Nicht-EAP-Daten.
Handbuch
Version 1.0.0
852-1816 Lean-Managed.Switch
Werbung
Kapitel
