Extensible Authentication Protocol: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Man-Pages“ durch „Man-Page“
 
(33 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''Extensible Authentication Protocol''' ('''EAP''') - Erweiterbares Authentifizierungsprotokoll
 
== Beschreibung ==
== Beschreibung ==
Das '''Extensible Authentication Protocol''' ('''EAP'''; {{deS|Erweiterbares Authentifizierungsprotokoll}}<ref>[https://www.heise.de/glossar/entry/Extensible-Authentication-Protocol-397255.html Extensible Authentication Protocol (EAP).] heise online, Glossar.</ref>) ist ein von der [[Internet Engineering Task Force]] (IETF) entwickeltes, allgemeines [[Authentifizierung]]sprotokoll, das unterschiedliche Authentifizierungsverfahren unterstützt wie z.&nbsp;B. [[Benutzername]]/[[Passwort]] ([[Remote Authentication Dial-In User Service|RADIUS]]), [[Digitales Zertifikat]], [[SIM-Karte]]. EAP wird oft für die Zugriffskontrolle in [[Wireless Local Area Network|WLANs]] genutzt.
EAP wurde entwickelt, um eine generische Unterstützung bei der Authentifizierung, d.&nbsp;h&nbsp;der Einwahl, in ein fremdes Netzwerk zu schaffen, ohne dass man sich bei jeder neuen Authentifizierung um die Infrastruktur kümmern und sie aktualisieren müsste


EAP wurde entwickelt, um eine generische Unterstützung bei der Authentifizierung, d.&nbsp;h. der Einwahl, in ein fremdes Netzwerk zu schaffen, ohne dass man sich bei jeder neuen Authentifizierung um die Infrastruktur kümmern und sie aktualisieren müsste. EAP ist heute weit verbreitet und wird von unterschiedlichen Transportprotokollen, wie z.&nbsp;B. [[Point-to-Point Protocol]] (PPP), [[Remote Authentication Dial-In User Service]] (RADIUS) und [[Diameter (Protokoll)|Diameter]] unterstützt. Der [[Institute of Electrical and Electronics Engineers|IEEE]]-[[IEEE 802.1X|802.1X]]-Standard schlägt u.&nbsp;a. EAP als Authentifizierungsverfahren vor. Ebenso hat [[3rd Generation Partnership Project|3GPP]] den EAP-Standard zur Zusammenführung der [[Global System for Mobile Communications|GSM]]- mit der [[Internet Protocol|IP]]-Technologie übernommen. EAP könnte in Zukunft zudem zum bevorzugten Authentifizierungsverfahren bei der [[WiMAX]]-Authentifizierung werden.
EAP ist heute weitverbreitet und wird von unterschiedlichen Transportprotokollen, wie z.&nbsp;B. [[Point-to-Point Protocol]] (PPP), [[Remote Authentication Dial-In User Service]] (RADIUS) und [[Diameter (Protokoll)|Diameter]] unterstützt
* Der [[Institute of Electrical and Electronics Engineers|IEEE]]-[[IEEE 802.1X|802.1X]]-Standard schlägt u.&nbsp;a.&nbsp;EAP als Authentifizierungsverfahren vor
* Ebenso hat [[3rd Generation Partnership Project|3GPP]] den EAP-Standard zur Zusammenführung der [[Global System for Mobile Communications|GSM]]- mit der [[Internet Protocol|IP]]-Technologie übernommen
* EAP könnte in Zukunft zudem zum bevorzugten Authentifizierungsverfahren bei der [[WiMAX]]-Authentifizierung werden
 
* [[Authentifizierung]]sprotokoll
* [[Internet Engineering Task Force]] (IETF)
* Oft zur Zugriffskontrolle in [[Wireless Local Area Network|WLANs]] genutzt
 
Unterstützt unterschiedliche Authentifizierungsverfahren
* [[Benutzername]]/[[Passwort]]
* [[Remote Authentication Dial-In User Service|RADIUS]]
* [[Digitales Zertifikat]]
* [[SIM-Karte]]


== Vorteile ==
== Vorteile ==
Es können mehrere Authentifizierungsmechanismen (auch in Folge) verwendet werden, die nicht schon in der Verbindungsaufbauphase ausgehandelt werden müssen.
Es können mehrere Authentifizierungsmechanismen (auch in Folge) verwendet werden, die nicht schon in der Verbindungsaufbauphase ausgehandelt werden müssen


== Authentifizierungsverfahren ==
== Authentifizierungsverfahren ==
Bei EAP erfolgt die Aushandlung des konkret eingesetzten Authentifizierungsmechanismus erst während der Authentifizierungsphase, was den Einsatz eines Authentifizierungs-Servers erlaubt. Ein sogenannter [[Supplikant (Computer)|Supplicant]] (Bittsteller) ist ein User oder Client, welcher sich bei einer Authentifizierungsstelle zur Authentifizierung anmelden möchte, z.&nbsp;B. ein mobiler Node beim Verbindungsaufbau zu einem Netzwerk. Ein sogenannter Authentikator gibt dabei die Authentifizierungsnachrichten vom Supplicant an den Authentifizierungs-Server weiter. Dabei können auch mehrere Mechanismen in Folge benutzt werden. Die Kontrolle darüber hat der Authentikator, der mittels eines Request das Verfahren bestimmt. Zur Auswahl stehen z.&nbsp;B. Identitätsabfrage für Dial-In-Verbindungen, [[Message-Digest Algorithm 5|MD5]]-Challenge ([[Challenge Handshake Authentication Protocol|CHAP]]), One-Time-Passwörter, Generic Token Cards etc. Nach Authentifizierungsanreiz (Request) vom Authentikator an den Supplicant, antwortet dieser mit einer Response, die im Datenfeld die jeweilige Authentifizierung (Identität (ID), Passwort, Hash-Wert, IMSI etc.) enthält. Daraufhin kann der Authentikator weitere Angaben mittels Challenge-Response-Verfahren fordern. Abgeschlossen wird die Authentifizierung mit einem Success-/Failure-Response vom Authentikator.
Bei EAP erfolgt die Aushandlung des konkret eingesetzten Authentifizierungsmechanismus erst während der Authentifizierungsphase, was den Einsatz eines Authentifizierungs-Servers erlaubt
* Ein sogenannter [[Supplikant (Computer)|Supplicant]] (Bittsteller) ist ein User oder Client, welcher sich bei einer Authentifizierungsstelle zur Authentifizierung anmelden möchte, z.&nbsp;B.&nbsp;ein mobiler Node beim Verbindungsaufbau zu einem Netzwerk
* Ein sogenannter Authentikator gibt dabei die Authentifizierungsnachrichten vom Supplicant an den Authentifizierungs-Server weiter
* Dabei können auch mehrere Mechanismen in Folge benutzt werden
* Die Kontrolle darüber hat der Authentikator, der mittels eines Request das Verfahren bestimmt
 
Zur Auswahl stehen z.&nbsp;B.&nbsp;Identitätsabfrage für Dial-In-Verbindungen, [[Message-Digest Algorithm 5|MD5]]-Challenge ([[Challenge Handshake Authentication Protocol|CHAP]]), One-Time-Passwörter, Generic Token Cards etc
* Nach Authentifizierungsanreiz (Request) vom Authentikator an den Supplicant, antwortet dieser mit einer Response, die im Datenfeld die jeweilige Authentifizierung (Identität (ID), Passwort, Hash-Wert, IMSI etc.) enthält
* Daraufhin kann der Authentikator weitere Angaben mittels Challenge-Response-Verfahren fordern
* Abgeschlossen wird die Authentifizierung mit einem Success-/Failure-Response vom Authentikator


=== Identität ===
=== Identität ===
Identifizierung möglicherweise durch den Benutzer, d.&nbsp;h. durch Eingabe einer User-ID. Im Request-Paket kann ein Aufforderungstext mitgeschickt werden, der dem Benutzer vor der Eingabe der ID angezeigt wird.
Identifizierung möglicherweise durch den Benutzer, d.&nbsp;h.&nbsp;durch Eingabe einer User-ID
* Im Request-Paket kann ein Aufforderungstext mitgeschickt werden, der dem Benutzer vor der Eingabe der ID angezeigt wird


=== Benachrichtigung ===
=== Benachrichtigung ===
Im Datenteil des Pakets wird eine Meldung an den Benutzer transportiert, die diesem angezeigt wird. Z.&nbsp;B. Authentifizierungsfehler, Passwortablaufzeit, …
Im Datenteil des Pakets wird eine Meldung an den Benutzer transportiert, die diesem angezeigt wird Z.&nbsp;B.&nbsp;Authentifizierungsfehler, Passwortablaufzeit, …


=== NAK ===
=== NAK ===
(NAK = No Acknowledgement / Negative Acknowledgement). Dieser Typ darf nur in einer Response-Nachricht auftauchen. Es wird damit signalisiert, dass der Peer das gewünschte Authentifizierungsverfahren nicht unterstützt.
NAK (No Acknowledgement)
* Negatives Acknowledgement
* Dieser Typ darf nur in einer Response-Nachricht auftauchen
* Es wird damit signalisiert, dass der Peer das gewünschte Authentifizierungsverfahren nicht unterstützt


=== MD5-Challenge ===
=== MD5-Challenge ===
Dies entspricht [[Challenge Handshake Authentication Protocol|CHAP]] mit [[Message-Digest Algorithm 5|MD5]] als Hash-Algorithmus. In der Request-Message wird ein Zufallswert übertragen. Das Response-Paket enthält den Hash-Wert über diesen Zufallswert und ein nur den beiden Parteien bekanntes Passwort (siehe auch [[Challenge-Response-Authentifizierung]]).
Dies entspricht [[Challenge Handshake Authentication Protocol|CHAP]] mit [[Message-Digest Algorithm 5|MD5]] als Hash-Algorithmus
* In der Request-Message wird ein Zufallswert übertragen
* Das Response-Paket enthält den Hash-Wert über diesen Zufallswert und ein nur den beiden Parteien bekanntes Passwort (siehe auch [[Challenge-Response-Authentifizierung]])


=== One-Time-Password ===
=== One-Time-Password ===
Die Request-Message enthält eine OTP-Challenge. Im Response-Paket steht das jeweilige [[Einmalpasswort|One-Time-Passwort]].
Die Request-Message enthält eine OTP-Challenge
* Im Response-Paket steht das jeweilige [[Einmalpasswort|One-Time-Passwort]]


=== TLS ===
=== TLS ===
Um ein aufwendiges Design von kryptographischen Protokollen zu vermeiden, wird hier der Authentifizierungsdialog von [[Transport Layer Security|TLS]] verwendet.
Um ein aufwendiges Design von kryptographischen Protokollen zu vermeiden, wird hier der Authentifizierungsdialog von [[Transport Layer Security|TLS]] verwendet


Weit verbreitet ist das EAP-TLS-Verfahren, welches bei allen nach 802.11i standardisierten [[Wireless Local Area Network|WLAN]]-Komponenten genutzt werden kann. Dabei prüft der [[Authenticator]] ([[Wireless Access Point|Accesspoint]]/[[Router]]) die vom potentiellen Netzwerkteilnehmer (Notebook) übermittelten Authentifizierungsinformationen auf einem Authentifizierungsserver ([[Remote Authentication Dial-In User Service|RADIUS]]).
Weit verbreitet ist das EAP-TLS-Verfahren, welches bei allen nach 802.11i standardisierten [[Wireless Local Area Network|WLAN]]-Komponenten genutzt werden kann
* Dabei prüft der [[Authenticator]] ([[Wireless Access Point|Accesspoint]]/[[Router]]) die vom potentiellen Netzwerkteilnehmer (Notebook) übermittelten Authentifizierungsinformationen auf einem Authentifizierungsserver ([[Remote Authentication Dial-In User Service|RADIUS]])


=== SIM/AKA ===
=== SIM/AKA ===
Das EAP ''for GSM Subscriber Identity Module'' bzw. ''for UMTS Authentication and Key Agreement'' (<nowiki>RFC&nbsp;4186</nowiki><ref>{{RFC-Internet |RFC=4186 |Titel=Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM) |Datum=}}</ref> – <nowiki>RFC&nbsp;4187</nowiki><ref>{{RFC-Internet |RFC=4187 |Titel=Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA) |Datum=}}</ref>) ist ein weiteres Authentifizierungsverfahren des Extensible Authentication Protocols, welches die [[Global System for Mobile Communications|GSM]]/[[Universal Mobile Telecommunications System|UMTS]] [[SIM-Karte]] zum Authentifizieren nutzt. Durch diese Methode erfolgt das Einwählen an einem verschlüsselten [[Wireless Local Area Network|WLAN]] automatisch, da der Client (meist ein [[Mobiltelefon]]) sich im [[Triple-A-System]] durch seinen SIM-Authentifizierungs-Algorithmus einwählt und somit die Eingabe eines voreingestellten [[Wireless Local Area Network#Verschlüsselung|WLAN-Passworts]] wegfällt.<ref>{{Webarchiv |url=http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html |text=What is EAP-SIM? |wayback=20120409120027}}</ref>
Das EAP ''for GSM Subscriber Identity Module'' bzw. ''for UMTS Authentication and Key Agreement'' (<nowiki>RFC&nbsp;4186</nowiki – <nowiki>RFC&nbsp;4187</nowiki>) ist ein weiteres Authentifizierungsverfahren des Extensible Authentication Protocols, welches die [[Global System for Mobile Communications|GSM]]/[[Universal Mobile Telecommunications System|UMTS]] [[SIM-Karte]] zum Authentifizieren nutzt
* Durch diese Methode erfolgt das Einwählen an einem verschlüsselten [[Wireless Local Area Network|WLAN]] automatisch, da der Client (meist ein [[Mobiltelefon]]) sich im [[Triple-A-System]] durch seinen SIM-Authentifizierungs-Algorithmus einwählt und somit die Eingabe eines voreingestellten [[Wireless Local Area Network#Verschlüsselung|WLAN-Passworts]] wegfällt


=== Weitere Verfahren ===
=== Verfahren ===
Es gibt ca. 40 EAP-Verfahren, darunter sind:
; Es gibt ca. 40 EAP-Verfahren
* Laut [[Request for Comments|RFC]]: EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS
[[Request for Comments|RFC]]
* Herstellerspezifisch: EAP-TLS, EAP-SIM, EAP-AKA, PEAP, [[Lightweight Extensible Authentication Protocol|LEAP]], EAP-TTLS, EAP-IKEv2
* EAP-MD5
* EAP-OTP
* EAP-GTC
* EAP-TLS


== Installation ==
Herstellerspezifisch
== Syntax ==
* EAP-TLS
<syntaxhighlight lang="bash" highlight="1" line>
* EAP-SIM
* EAP-AKA
* PEAP
* [[Lightweight Extensible Authentication Protocol|LEAP]]
* EAP-TTLS
* EAP-IKEv2


</syntaxhighlight>
=== Optionen ===
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
== Anwendung ==
=== Fehlerbehebung ===
== Konfiguration ==
=== Dateien ===
<noinclude>
<noinclude>
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
Zeile 73: Zeile 105:
|}
|}


===== Man-Pages =====
===== Man-Page =====
===== Info-Pages =====
===== Info-Pages =====
==== Links ====
==== Links ====
===== Projekt =====
===== Projekt =====
===== Weblinks =====
===== Weblinks =====
# https://de.wikipedia.org/wiki/Extensible_Authentication_Protocol


[[Kategorie:Rechnernetze]]
[[Kategorie:Netzwerkprotokoll]]
[[Kategorie:Authentifizierungsprotokoll]]
</noinclude>
</noinclude>
[[Kategorie:Authentifizierung]]

Aktuelle Version vom 6. November 2024, 12:32 Uhr

Extensible Authentication Protocol (EAP) - Erweiterbares Authentifizierungsprotokoll

Beschreibung

EAP wurde entwickelt, um eine generische Unterstützung bei der Authentifizierung, d. h der Einwahl, in ein fremdes Netzwerk zu schaffen, ohne dass man sich bei jeder neuen Authentifizierung um die Infrastruktur kümmern und sie aktualisieren müsste

EAP ist heute weitverbreitet und wird von unterschiedlichen Transportprotokollen, wie z. B. Point-to-Point Protocol (PPP), Remote Authentication Dial-In User Service (RADIUS) und Diameter unterstützt

  • Der IEEE-802.1X-Standard schlägt u. a. EAP als Authentifizierungsverfahren vor
  • Ebenso hat 3GPP den EAP-Standard zur Zusammenführung der GSM- mit der IP-Technologie übernommen
  • EAP könnte in Zukunft zudem zum bevorzugten Authentifizierungsverfahren bei der WiMAX-Authentifizierung werden

Unterstützt unterschiedliche Authentifizierungsverfahren

Vorteile

Es können mehrere Authentifizierungsmechanismen (auch in Folge) verwendet werden, die nicht schon in der Verbindungsaufbauphase ausgehandelt werden müssen

Authentifizierungsverfahren

Bei EAP erfolgt die Aushandlung des konkret eingesetzten Authentifizierungsmechanismus erst während der Authentifizierungsphase, was den Einsatz eines Authentifizierungs-Servers erlaubt

  • Ein sogenannter Supplicant (Bittsteller) ist ein User oder Client, welcher sich bei einer Authentifizierungsstelle zur Authentifizierung anmelden möchte, z. B. ein mobiler Node beim Verbindungsaufbau zu einem Netzwerk
  • Ein sogenannter Authentikator gibt dabei die Authentifizierungsnachrichten vom Supplicant an den Authentifizierungs-Server weiter
  • Dabei können auch mehrere Mechanismen in Folge benutzt werden
  • Die Kontrolle darüber hat der Authentikator, der mittels eines Request das Verfahren bestimmt

Zur Auswahl stehen z. B. Identitätsabfrage für Dial-In-Verbindungen, MD5-Challenge (CHAP), One-Time-Passwörter, Generic Token Cards etc

  • Nach Authentifizierungsanreiz (Request) vom Authentikator an den Supplicant, antwortet dieser mit einer Response, die im Datenfeld die jeweilige Authentifizierung (Identität (ID), Passwort, Hash-Wert, IMSI etc.) enthält
  • Daraufhin kann der Authentikator weitere Angaben mittels Challenge-Response-Verfahren fordern
  • Abgeschlossen wird die Authentifizierung mit einem Success-/Failure-Response vom Authentikator

Identität

Identifizierung möglicherweise durch den Benutzer, d. h. durch Eingabe einer User-ID

  • Im Request-Paket kann ein Aufforderungstext mitgeschickt werden, der dem Benutzer vor der Eingabe der ID angezeigt wird

Benachrichtigung

Im Datenteil des Pakets wird eine Meldung an den Benutzer transportiert, die diesem angezeigt wird Z. B. Authentifizierungsfehler, Passwortablaufzeit, …

NAK

NAK (No Acknowledgement)

  • Negatives Acknowledgement
  • Dieser Typ darf nur in einer Response-Nachricht auftauchen
  • Es wird damit signalisiert, dass der Peer das gewünschte Authentifizierungsverfahren nicht unterstützt

MD5-Challenge

Dies entspricht CHAP mit MD5 als Hash-Algorithmus

  • In der Request-Message wird ein Zufallswert übertragen
  • Das Response-Paket enthält den Hash-Wert über diesen Zufallswert und ein nur den beiden Parteien bekanntes Passwort (siehe auch Challenge-Response-Authentifizierung)

One-Time-Password

Die Request-Message enthält eine OTP-Challenge

TLS

Um ein aufwendiges Design von kryptographischen Protokollen zu vermeiden, wird hier der Authentifizierungsdialog von TLS verwendet

Weit verbreitet ist das EAP-TLS-Verfahren, welches bei allen nach 802.11i standardisierten WLAN-Komponenten genutzt werden kann

  • Dabei prüft der Authenticator (Accesspoint/Router) die vom potentiellen Netzwerkteilnehmer (Notebook) übermittelten Authentifizierungsinformationen auf einem Authentifizierungsserver (RADIUS)

SIM/AKA

Das EAP for GSM Subscriber Identity Module bzw. for UMTS Authentication and Key Agreement (RFC 4186</nowiki – <nowiki>RFC 4187) ist ein weiteres Authentifizierungsverfahren des Extensible Authentication Protocols, welches die GSM/UMTS SIM-Karte zum Authentifizieren nutzt

  • Durch diese Methode erfolgt das Einwählen an einem verschlüsselten WLAN automatisch, da der Client (meist ein Mobiltelefon) sich im Triple-A-System durch seinen SIM-Authentifizierungs-Algorithmus einwählt und somit die Eingabe eines voreingestellten WLAN-Passworts wegfällt

Verfahren

Es gibt ca. 40 EAP-Verfahren

RFC

  • EAP-MD5
  • EAP-OTP
  • EAP-GTC
  • EAP-TLS

Herstellerspezifisch

  • EAP-TLS
  • EAP-SIM
  • EAP-AKA
  • PEAP
  • LEAP
  • EAP-TTLS
  • EAP-IKEv2


Anhang

Siehe auch

Dokumentation

RFC
RFC Titel
3748 Extensible Authentication Protocol (EAP)
2284 PPP Extensible Authentication Protocol (EAP)
1938 A One-Time Password System
4186 Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM)
4187 Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)
Man-Page
Info-Pages

Links

Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/Extensible_Authentication_Protocol