802.1x Port Security mit IAS-Server und Windows CA - Teil 1

Autor: Kai Willius, MCSEboard.de

Der IEEE 802.1x Standard

Der IEEE 802.1x Standard ermöglicht eine Authentifizierung eines Benutzers oder Computers an einem Authenticator im LAN. Der Authenticator im LAN ist in den meisten Fällen ein verwaltbarer Switch oder ein WLAN Accesspoint. Der Supplicant ist eine physikalisches Endgerät (PC, Notebook oder auch ein PDA), das am Netzwerk teilnimmt und ein Benutzer. Der Authentifizierungsserver kann der Switch selbst sein, indem er die ihm vom Supplicant übergebenen Informationen mit dem ihm manuell zur Verfügung gestellten Informationen abgleicht, den so genannten Access Control Lists (ACLs). Diese Möglichkeit der Authentifizierung ist allerdings nur in kleinen LANs ratsam, da Sie einen sehr hohen Verwaltungsaufwand mit sich bringt.

Als Authentifizierungsserver kann auch ein eigenständiger RADIUS-Server zum Einsatz kommen. Der RADIUS-Server wird dem Authenticator (Switch / Access Point) mit seiner IP-Adresse und den UDP Ports, die zur Kommunikation nötig sind, in seiner Konfiguration mitgegeben. Alle Authentifizierungsinformation werden dann an den hinterlegten RADIUS-Server weitergeleitet.

Das RADIUS Protokoll

RADIUS => Remote Authentication Dial In User Service
Das Radius Protokoll wird zur Authentifizierung von Benutzern oder PCs die an einem LAN / WAN teilnehmen wollen genutzt. Das RADIUS Protokoll ist in RFC 2138, 2139 und 2865 niedergeschrieben.

Das Prinzip des RADIUS Protokolls beruht auf dem Triple-A-System
- Authentifizierung
- Autorisierung
- Accounting

RADIUS war vor allem dazu gedacht Benutzern, welche Einwahlverbindungen wie z.B. ISDN oder DSL nutzen, zu authentifizieren. Die Einwahl bei Internet Providern basiert auf dem Prinzip des RADIUS Protokolls. Auch die Einwahl auf RAS-Servern oder VPN-Servern wird durch das RADIUS Protokoll authentifiziert.
Das RADIUS Protokoll kommuniziert standardmäßig auf den UDP Ports 1812 und 1813 oder 1645 und 1646. Die UDP Ports sind in der eigenen Konfiguration aber frei wählbar.

(Beispiele für RADIUS-Server: FreeRADIUS ein OpenSource RADIUS-Server oder der hier eingesetzte Microsoft Internet Authentication Server (IAS) der bei Windows Server 2003 ab der Standard Edition bereits Integriert ist.)

Das EAP Protokoll

Das EAP (Extensible Authentication Protocol) Protokoll wird in RFC 3748 beschrieben und wird zur Authentifizierung von Benutzern und Computer in LAN und WAN Umgebungen genutzt.

Die zwei meistgenutzten EAP Varianten sind:

- EAP MS-CHAP v2 (MicroSoft Challenge Handshake Authentication Protocol Version2)
EAP MS-CHAP v2 nutzt ein Serverzertifikat zur Authentifizierung eines autorisierten RADIUS-Servers. Der Computer und Benutzer authentifiziert sich anhand eines Passwort. EAP MS-CHAP v2 ist nur so sicher wie das zur Authentifizierung des Clients benutzte Passwort. EAP MS-CHAP v2 erfordert nicht zwingend eine Public Key Infrastructure.

- EAP-TLS
(Transport Layer Security)
EAP-TLS ist eines der sichersten Protokolle zur Authentifizierung von Benutzern und Computern. EAP-TLS basiert vollkommen auf Zertifikaten zur Authentifizierung.

- Der RADIUS-Server autorisiert sich durch ein Serverzertifikat.
Das Serverzertifikat enthält den Full Qualified Domain Name des Servers.

- Der Computer authentifiziert sich durch ein Zertifkat.
Das Computerzertifikat enthält ebenfalls den Full Qualified Domain Name des Computers.

- Der Benutzer authentifiziert sich durch ein Zertifikat.
Das Benutzerzertifikat enthält den User Principal Name des Benutzers.

Das Benutzerzertifikat kann zur Erhöhung der Sicherheit z.B. noch auf eine Smart Card ausgelagert werden. Dies beruht dann auf dem „something you have and something you know“ Konzept. Wird dieses Konzept in eine Sicherheitsumgebung eingepflegt, kann damit eine hohe Sicherheit gewährleistet werden.
Wenn ein potenzieller Angreifer das Passwort der Smart Card in seinen Besitz bringt, ist dieses ohne die Smart Card und das enthaltene Zertifikat nutzlos.
Ebenso ist nur die Smart Card ohne das benötigte Passwort nutzlos, da man ohne das Passwort nicht auf das Zertifikat zurückgreifen kann.

Die Certification Authority (CA)

Die Certification Authority (Zertifizierungsstelle) stellt die benötigten Zertifikattypen zur Registrierung bereit. Die von einer CA ausgestellten Zertifikate sind nur so sicher wie die Infrastruktur der CA. Jede Zertifikatsinfrastruktur sollte auf einer Offline-CA basieren, die geschützt vor Angriffen aus dem Internet und auch dem internen Netzwerk ist. Die Offline-CA stellt die Zertifikate bereit und die weiteren untergeordneten CAs in der Zertifizierungshierarchie beziehen von dort ihre Zertifikate. Das heißt, nur Zertifikate die von der Offline CA ausgestellt wurden, werden als Vertrauenswürdig betrachtet. Registrieren kann man das Zertifikat aber an jeder beliebigen Zertifizierungsstelle.

Die Zertifikatsverteilung:

1) Ab Windows XP und Server 2003 ist die Zertifikatverteilung mittels eines GPO (Group Policy Object) möglich. Dies erleichtert die Zertifikatsverteilung erheblich und bietet auch einen guten Kompromiss zwischen Sicherheit und Verwaltbarkeit.
Nur Computer- und Benutzer-Konten, die im Active Directory System (ADS) registriert sind und sich in einer vom Administrator vorgegebenen Organization Unit (OU) befinden, auf der die entsprechende GPO eingerichtet ist, erhalten die Zertifikate.
Computer und Benutzer können sich nur im ADS registrieren, wenn Sie Mitglied der Domänenstruktur ist.

2) Bei Betriebssystemen vor Windows XP und Windows Server2003 oder auch Unix – Linux Varianten ist die Zertifikatsregistrierung nur möglich über das Webinterface der CA oder bei einer manuellen Verteilung via Diskette.

Die manuelle Verteilung mit einer Diskette ist ein riesiger Verwaltungsaufwand, da man in diesem Fall auf jedem Rechner, der am Netzwerk teilnehmen soll, einzeln per Diskette das benötigte Zertifikat installieren muss.

Die Verteilung über das Webinterface unter der jede Microsoft CA erreichbar ist, sollte auf jeden Fall noch weiter abgesichert werden, um Angriffsflächen weiter einzudämmen.
Das Webinterface ist im Explorer unter der DNS-Adresse (http:// servername/certsrv.msc) erreichbar.