Channel Security

Für die portbasierte Zugangskontrolle im Rahmen der Authentifizierung in IEEE 802.11i wird der eigentlich für herkömmliche lokale Netze entwickelte Standard IEEE 802.1x verwendet. Beim Einsatz in einem herkömmlichen LAN wird jedem Client ein tatsächlich vorhandener Netzwerk-Port zugeordnet, für dessen Kontrolle ein bestimmter Authentifizierungsserver (im Folgenden mit AS abgekürzt) zuständig ist. Dieses Verfahren wird auf das drahtlose Netz übertragen, indem statt der physikalischen Ports logische Verbindungen zwischen Client und Access Point als Port betrachtet werden. Für jeden eine Verbindung aufbauenden Client wird vom Access Point ein logischer Port erzeugt, der dann einem virtuellen AS zugeordnet wird. Dabei wird zwischen kontrollierten und unkontrollierten Ports unterschieden: Der Client sendet seine Verbindungsanforderung an einen unkontrollierten Port, über den er dann während der Authentifizierung mit dem Access Point und dem AS kommuniziert. Nach erfolgreicher Authentifizierung wird dem Client ein kontrollierter Port zugewiesen, über den er dann Zugriff auf das WLAN erhält.

EAP

Für die Kommunikation zwischen Authentifizierer (in der Regel dem Access Point, daher im Folgenden mit AP abgekürzt) und AS wird das Extensible Authentication Protocol (EAP, RFC 3748) verwendet, das ursprünglich für die Nutzung in Einwahlnetzen entwickelt wurde. EAP baut erst eine Verbindung auf, über die dann die Authentifizierung abgewickelt wird. Dazu werden lediglich 4 Nachrichtentypen benötigt:

• EAP-Request für Nachrichten, die der AS über den AP an den Client schickt und
• EAP-Response für Nachrichten, die der Client über den AP an den AS schickt.
• EAP-Success, um dem Client über den AP vom AS eine erfolgreiche Authentifizierung zu melden und
• EAP-Failure, um eine fehlgeschlagene Authentifizierung zu melden.

EAP-Request- und EAP-Response-Nachrichten werden in verschiedene Untertypen aufgeteilt, die über das EAP-Type-Feld markiert werden. Sie dienen z.B. dazu, die Identität des Clients abzufragen bzw. darauf zu antworten oder ein bestimmtes Upper-Layer-Authentifizierungsprotokoll auszuwählen.

EAPOL

Da EAP ursprünglich für den Einsatz in Einwahlnetzen entworfen wurde, fehlen ihm einige für eine Kommunikation in einem LAN notwendige Funktionen. Diese wurden in EAPOL (EAP over LAN, IEEE 802.1x) definiert. Folgende Nachrichtentypen werden für den Einsatz in IEEE 802.11i benötigt:

• EAPOL-Start wird an eine reservierte Multicast-Adresse gesendet, um die MAC-Adresse des AP zu erfahren. Der AP antwortet mit einer EAP-Request-Nachricht vom Typ Identity, um die Identität des Clients abzufragen.
• EAPOL-Keys wird für den Austausch der notwendigen Schlüssel verwendet (siehe About Security #109/ #110).
• EAPOL-Packet wird für die Kapselung der eigentlichen EAP-Nachrichten verwendet.
• EAPOL-Logoff wird vom Client verwendet, um sich beim AP abzumelden, wenn er das Netzwerk verlassen will.

Ablauf der Authentifizierung

Authentifizierungsserver und das häufig genutzte RADIUS-Protokoll werden in einer zukünftigen Folge beschrieben, daher wird hier auf eine Beschreibung der Nachrichten des AS verzichtet. Die zwischen AP und AS ausgetauschten EAP-Nachrichten werden in Nachrichten des Authentifizierungsprotokolls gekapselt, das im Folgenden hilfsweise 'Auth' genannt wird.

1. Der Client möchte auf das WLAN zugreifen und sendet eine EAPOL-Start-Nachricht an den AP.
2. Der AP sendet dem Client eine EAP-Request/Identity-Nachricht, gekapselt in eine EAPOL-Packet-Nachricht, um dessen Identität abzufragen.
3. Der Client antwortet mit seiner Identität in Form einer EAP-Response/Identity-Nachricht, gekapselt in eine EAPOL-Packet-Nachricht.
   Der AP kapselt die EAP-Response in eine Auth-Nachricht und sendet sie an den AS.
4. Der AS antwortet mit einem EAP-Request, gekapselt in eine Auth-Nachricht.
   Der AP kapselt den EAP-Request in eine EAPOL-Nachricht und sendet sie an den Client.
5. Der Client antwortet mit einer EAP-Response, gekapselt in eine EAPOL-Nachricht.
   Der AP kapselt die EAP-Response in eine Auth-Nachricht und sendet sie an den AS.
6. Ist die Authentifizierung erfolgreich, sendet der AS eine EAP-Success-Nachricht, gekapselt in eine Auth-Nachricht, an den AP.
   Der AP kapselt die EAP-Success-Nachricht in eine EAPOL-Nachricht und sendet sie an den Client.
7. Der AS sendet den Pairwise Master Key an den AP, der dann die temporären Schlüssel über EAPOL-Key-Nachrichten mit dem Client austauscht.

Hier die ausgetauschten Nachrichten in einer Übersicht.

Oben wurde davon ausgegangen, dass der AS EAP-Nachrichten versteht und dies dem AP bekannt ist. Andernfalls würde der AP in Schritt 2 eine so genannte EAP-Start-Nachricht an den AS senden. Dabei handelt es sich um eine EAP-Nachricht ohne Datenteil, gekapselt in das Protokoll des AS. Versteht der AS EAP, antwortet er mit einer in seinem Protokoll gekapselten EAP-Request/Identity-Nachricht, die der AP dann an den Client weiterleitet.

In der nächsten Folge wird die Beschreibung von IEEE 802.11i abgeschlossen.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security – WPA, WPA2 und IEEE 802.11i"

• About Security #108: Mobile Security – Wi-Fi Protected Access (WPA)
• About Security #109: Mobile Security – IEEE 802.11i Schlüsselhierarchien
• About Security #110: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #111: Mobile Security – IEEE 802.11i Gruppenschlüssel
• About Security #112: Mobile Security – IEEE 802.11i Verschlüsselung
• About Security #113: Mobile Security – IEEE 802.11i Authentifizierung
• About Security #114: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #115: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i
• About Security #116: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i, Teil 2
• About Security #117: Mobile Security – WLAN-Hotspots