Schutz durch zusätzliche Authentifizierung. Der IEEE Standard 802.1X sichert Vertraulichkeit, Authentizität und Datenintegrität durch zusätzliche Authentifizierungsverfahren.
Die Vernetzung von Computern und deren Komponenten hat sowohl für Organisationen als auch private Nutzer eine neue Qualität durch den Einsatz von drahtlosen Übertragungen erreicht. Am vorläufigen Ende dieser Entwicklung steht das WLAN mit seinen ihm eigenen Sicherheitsanforderungen.
Sicherheit und Sicherung der Datenintegrität
Eine drahtlose Vernetzung setzt sich anderen Gefährdungen aus als Festnetzanwendungen. Das liegt an der verwendeten Form der Datenübertragung per Funk. Welche Ziele sind nun bei der Absicherung im Blick?
In Funknetzen wie auch in drahtgebundener Umgebung muss sichergestellt werden, dass alle Daten ihren Adressaten vollständig und unverändert auf der Empfängerstation erreichen. Falls die Daten unterwegs manipuliert worden sind, muss der Empfänger diesen Umstand wahrnehmen können, um auf eine solche Manipulation reagieren zu können. Vom Ergebnis her ist es unerheblich, ob eine solche Störung durch bewusste Manipulation oder durch technisch bedingte Übertragungsfehler hervorgerufen wird.
Sicherung der Authentizität
Sowohl der Sender als auch der Empfänger von Nachrichten hat ein Interesse daran, dass die Authentizität der jeweils anderen Seite gesichert ist. Durch entsprechende Zugangskontrollen muss gewährleistet werden, dass sich Sender X nicht als Sender Y ausgeben kann; für den Empfänger gilt Entsprechendes. Dies ist insbesondere dann notwendig, wenn bei den Netzkontakten rechtsverbindliche Vorgänge wie Bestellungen oder Zahlungsverfahren abgewickelt werden.
Sicherung der Vertraulichkeit
Gegenüber der Kommunikation in offenen Netzen, die gerade auf die allgemeine Teilhabe an allen zugänglichen Informationen ausgelegt sind, spielt die Vertraulichkeit des Informationsaustausches in privaten drahtlosen Netzen aus Sicht des Datenschutzes eine ganz andere Rolle. Hier müssen entsprechende Geheimhaltungsstufen tatsächlich zum Tragen kommen. Da Funksignale prinzipiell mitgehört werden können, geht dieser Weg nur über eine Verschlüsselung. Eine Verschlüsselung erfüllt dabei zwei Aufgaben:
- Sie sollte die übermittelten Informationen schützen und
- auch die zugehörigen Verbindungsdaten.
802.1X
Der Standard 802.1X spezifiziert allgemein für lokale Netze jeder Art bestimmte Formen der Benutzerauthentisierung und die Verwaltung von Schlüsseln. Dazu wird ein spezieller Authentisierungsserver eingerichtet, der die Zugangskontrolle für das gesamte Netz übernimmt. Dabei tauschen die einzelnen Clients und der Server Nachrichten aus, um sich gegenseitig zu identifizieren. Bevor die Authentisierung nicht erfolgreich abgeschlossen ist, wird weder dem Access Point erlaubt, Daten von einer Station zu akzeptieren noch einer Station Daten von einem Access Point zu empfangen. Nebenbei wird dabei ein einmaliger Sitzungsschlüssel gebildet, der den nachfolgenden Datenverkehr schützt.
Authentisierungsverfahren
802.1X bietet einen bequemen Weg, kryptografische Schlüssel für WLANs zu erstellen, um typische Verschlüsselungssicherheit herzustellen. Die Authentisierung ist zugangsbasiert in mobilen Wi-Fi-Netzwerken.
Authentikatoren, allgemein in drahtlose Access Points integriert, sind Elemente innerhalb eines Authentisierungssystems, die physisch Zugang gewähren oder verhindern können. Der Anmelder versucht zu einem WLAN durch den Authentikator Zugang zu gewinnen, der seinerseits Authentifikationsbeglaubigungen am Anschluss verlangt. Authentifikations-Server sind gewöhnlich Remote Authentication Dial-In User Service (RADIUS) Server.
Der 802.1X-Prozess startet, wenn der Anmelder sich mit dem Authentifikator in Verbindung setzt, um in das Netzwerk zu gelangen. Das System blockiert den gesamten Verkehr des Clients außer dem, der zur Authentisierung gehört. Wenn der Zugangsversuch entdeckt wird, verlangt der Authentikator vom Anmelder seine Identität.
Der Anmelder bringt die Identifikationsinformationen bei sowie seinen Zugangswunsch zum Authentifikationsserver über den Authentifikator. Danach erfolgt ein Austausch von Frage- und Antwort-Nachrichten in Abhängigkeit vom Protokoll. Manchmal authentifiziert das Netzwerk nicht nur den Client, sondern der Client unternimmt Schritte, um festzustellen, ob er sich mit einem Netzwerk verbindet, dem er trauen kann. Das erhöht den Frage-/Antwort-Datenverkehr.
Falls der Anmelder die Bedingungen zufrieden stellt, informiert der Server den Authentifikator, der dann den Zugang ermöglicht, indem er den Anschluss freischaltet. Um Sicherheit zu gewährleisten, tauschen Anmelder und Authentifikator kryptografische Schlüssel aus. Typischerweise authentifiziert sich der Anmelder über eines der vielen Extensible Authentication Protocols (EAP).
IEEE 802.1X generiert und erzeugt Einzel-User kryptografische Schlüssel für jede Session. Dadurch werden Probleme vermieden, die mit einigen Sicherheitstechnologien verbunden sind, wie zum Beispiel mit WEP, die einen Schlüssel zum dechiffrieren für alle Endgeräte am selben Access Point benutzen. Wenn der Anmelder sich ausloggt, sendet er eine Nachricht an den Authentifikator, der den Zugang zurücksetzt, sodaß dieser für jeden nicht-authentifizierten Verkehr blockiert ist.
Verbreitung
Bis heute ist der Standard 802.1X trotz aller Vorteile nicht sehr weit verbreitet. Gründe dafür sind relativ hohe Investitionen, aber auch Betriebskosten. Organisatoren, die den Standard einsetzen möchten, müssen unterschiedlichste Komponenten inklusive den RADIUS-Server kaufen, installieren, warten und konfigurieren. Damit sind viele Nutzer häufig nicht vertraut. Für diesen komplexen Einführungsprozess müssen Zeit und Geld aufgewendet werden. Hinzu kommt, dass die Marktanbieter häufig ihre eigenen Versionen des Standards ausliefern, die untereinander nicht immer kompatibel sind. Der 802.1X ermöglichst so viele Authentisierungsmethoden, dass der Nutzer Probleme hat, die für ihn vorteilhafteste auszuwählen.
Die OpenSEA Alliance versucht, diese Probleme durch die Entwicklung von open source Referenzinstallationen anzugehen, um Abhängigkeiten von Anbietern und Betriebssystemen zu reduzieren. Auf diese Weise erhofft man sich eine bessere Interoperabilität und damit eine weitere Verbreitung des Standards.