Erweiterte Authentifizierung mittels 802.1x und Radius

Publiziert am 18. Juli 2013 von lkl-it

Für Netzwerke mit mehreren Zutrittspunkten bietet sich eine zentral gesteuerte Authentifizierung und Protokollierung der Verbindungen an, um den administrativen Aufwand klein zu halten.

802.1x
Mit 802.1x gib es ein solches Zugriffsframework, das den Zugriff auf ein Netzwerk zulässt oder ablehnt. Es besteht in der Regel aus 3 Komponenten:

  • Supplicants: Clients, die den Zugriff auf ein Netzwerk anfordern, indem sie Authentifizierungsanfragen mit dem EAP-Protokoll an einen Authenticator senden.
        • EAP (Extensible Authentication Protocol):Authentifizierungsframework, das die Einbindung verschiedener Authentifizierungsmethoden erlaubt z.B. 2-Faktor über Zertifikate/Smartcards  etc.
  • Authenticator: Zugriffsgateway (VPN Gateway, W-LAN Access Point, Ethernet Switch), das jeglichen Verkehr – außer dem Authentifizierungsverkehr – solange blockt, bis eine erfolgreiche Authentifizierung stattgefunden hat. Der Authenticator leitet alle Authentifizierungsanfragen der Supplicants an den Authentication Server weiter.
  • Authentication Server: zentraler Server, der die  weitergeleiteten Authentifizierungsanfragen mehrerer Authenticator validiert und ihnen das  Ergebnis der Überprüfung rückmeldet. Erst bei positiver Rückmeldung erlaubt der Authenticator dem Supplicant den gewünschten Netzwerkzugang.

RADIUS als Authentication Server für 802.1X
Eine weit verbreitete Implementierung für den Authentication Server ist der RADIUS (Remote Authentication Dial In User Service) Standard, der auch von Internet Providern für den Zugriff auf ihre Backbones verwendet wird. Dieser Standard kann neben der reinen Authentifizierung zusätzlich Autorisierung und Accounting (zentrale Protokollierung der Verbindungen) durchführen.

  1. Dabei prüft der RADIUS Server zuerst die grundsätzliche Authentifizierungsanforderung der Supplicants (korrekte Credentials bzw. Zertifikate) gegenüber einem Verzeichnisdienst wie Active Directory und
  2. wendet bei Erfolg bestimmte Autorisierungsrichtlinien auf die Verbindung an. Diese enorm flexiblen Richtlinien untersuchen, ob bestimmte weitere Bedingungen für die Verbindung erfüllt sind  (z.B. korrekte Benutzer/Computergruppe, Uhrzeit, Zugriffsart, IP-Adresse etc.) und weisen die Verbindung ggf. trotz gültiger Authentifizierungsangaben ab.

Erweiterte Policies und Quarantäne
Eine RADIUS-Implementierung kann ferner mit einem Network Policy Server (NPS) kombiniert werden, der noch erheblich detailliertere Zutrittskontrollen erlaubt. Haben die Supplicants bestimmte Prüf-Agenten installiert, kann der NPS bspw. ermitteln, ob ein Zugriffsclient die aktuellen Virenschutzdefinitionen/ aktuellen Updates installiert hat bzw. die Host-Firewall aktiviert ist. Ist dies nicht der Fall, wird der Client vom NPS temporär in eine vom internen LAN abgeschottete Quarantänezone – meist  ein spezielles V-LAN – verwiesen.

Die Quarantänezone erlaubt dem Client ggf. die fehlenden Komponenten z.B. mit Hilfe eines Update Servers nachzuinstallieren, ehe er über einen weiteren Authentifizierungsvorgang noch einmal versuchen kann, dem internen Netzwerk beizutreten.

Zertifikate in Kombination mit Radius und 802.1x

Alle RADIUS Authentifizierungsversuche müssen stets über das EAP-Protokoll erfolgen, zudem muss auf dem RADIUS Server ein X.509 Serverzertifikat mit Serverauthentifizierungs-EKU installiert sein, um seine Identität gegenüber den Supplicants zu beweisen.

Dieser Beitrag wurde unter PKI: Anwendungen und Applikationen veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.