IEEE 802.1X

IEEE 802.1X ist ein Standard zur Authentifizierung in Rechnernetzen

Beschreibung

Sicherheit

Sicherheitslücken in 802.1X-2001 und 802.1X-2004

Mehrere Endgeräte pro Anschluss

Im Sommer 2005 hat Steve Riley von Microsoft einen Artikel veröffentlicht, in dem er eine ernsthafte Sicherheitslücke im 802.1X-Protokoll aufzeigte, die auf einem Man-in-the-Middle-Angriff beruht.

• Zusammengefasst basiert die Lücke auf der Tatsache, dass per 802.1X nur der Anfang der Verbindung gesichert wird, dass es aber nach der Authentifizierung potenziellen Angreifer möglich ist, die geöffnete Verbindung zu eigenen Zwecken zu missbrauchen, sofern es dem Angreifer gelingt, sich physisch in die Verbindung einzuschleusen.
• Dazu kann ein Arbeitsgruppen-Hub mit authentifiziertem Rechner oder ein zwischen authentifiziertem Rechner und abgesichertem Port geschalteter Laptop genutzt werden.
• Riley schlägt für kabelbasierende Netzwerke die Verwendung von IPsec oder eine Kombination aus IPsec und 802.1X vor.^[1]

EAPOL-Logoff-Frames werden von dem 802.1X-Supplicant im Klartext übertragen und beinhalten keine nur dem Sender bekannten Informationen.^[2] Daher können sie leicht von einem verbundenen Gerät gefälscht werden, um einen DoS-Angriff durchzuführen; dies funktioniert auch per WLAN.

• Während eines EAPOL-Logoff-Angriffs sendet eine bösartige dritte Partei mit Zugriff zum Medium des Authenticators wiederholt gefälschte EAPOL-Logoff-Frames mit der MAC-Adresse des Ziels.
• Der Authenticator geht aufgrund der MAC-Adresse davon aus, dass das Zielgerät die Verbindung beenden möchte.
• Er schließt die authentifizierte Sitzung des Zielgerätes und blockiert damit den Datenstrom des Zielgerätes.
• Das Zielgerät ist logisch vom Netz genommen.

Die 2010 verabschiedete 802.1X-2010-Spezifikation begegnet diesen Sicherheitslücken, indem per MACsec IEEE 802.1AE die Daten zwischen logischen Ports, die oberhalb der physischen Ports anzusiedeln sind, und den per IEEE 802.1AR (Secure Device Identity / DevID) authentifizierten Geräten verschlüsselt werden.^[3][4]

Als Zwischenlösung bis zur Verbreitung dieser Verbesserungen haben einige Hersteller das Protokoll 802.1X-2001 und 802.1X-2004 erweitert, um mehrere gleichzeitige Authentifizierungssitzungen auf einem einzelnen Port zuzulassen.

• Dies verhindert zwar das versehentliche Eindringen von nicht authentifizierten MAC-Adressen auf 802.1X-authentifizierten Ports, aber es hindert ein bösartiges Gerät nicht daran, Daten abzugreifen, die authentifizierte MAC-Adresse anzunehmen oder einen EAPOL-Logoff-Angriff durchzuführen.

Siehe auch

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

1. https://de.wikipedia.org/wiki/IEEE_802.1X
2. IEEE 802.1X Arbeitsgruppe Offizielle Seite der 1X-Arbeitsgruppe
3. FreeRADIUS Freie und populäre Implementierung eines RADIUS-Servers
4. daloRADIUS Freie und webbasierte Software auf der Basis des FreeRADIUS-Servers und einer SQL-Datenbankanbindung, die das Ziel verfolgt, Benutzerkennungen zu verwalten
5. Einrichtung von IEEE 802.1X mit drahtgebundenen Netzen unter Verwendung von Microsoft Windows Deployment of IEEE 802.1X for Wired Networks Using Microsoft Windows
6. Einrichtung der VLAN-Zuordnung mit der Windows RADIUS Serverimplementierung Internet Authentication Service (IAS) Deploying Windows Server 2003 Internet Authentication Service (IAS) with Virtual Local Area Networks (VLANs)
7. 802.1X Port-Based Authentication HOWTO bei The Linux Documentation Project
8. Open1X Freie Supplicant-Implementierung für Linux, BSD und Windows
9. WLAN und LAN sichern mit IEEE 802.1X und Radius https://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X-und-Radius-979513.html

• Netzwerk-Grundlagen Authentisierung Das Authentication Framework des Standards IEEE 802.1X

Testfragen

Siehe auch

1. Port Based Network Access Control