Ratgeber Netzsicherheit

Zugriffskontrolle per 802.1x

28.10.2009
Von Eckhart Traber
Um den User bereits zu überprüfen, bevor er auf das Netz zugreift, gibt es einen häufig unterschätzten Standard: 802.1x. Richtig implementiert, gewährt er eine Grundsicherheit - auch im WLAN.
Foto:

Da Angriffe auf IT-Firmennetze zunehmen, müssen sich Systemverantwortliche Gedanken machen, wie sie ihr Netz gegen unberechtigte Zugriffe schützen. Neben Geräten wie Firewalls und Intrusion-Prevention/Detection-Systemen, welche im Wesentlichen den Datenverkehr überprüfen, gilt es, die Benutzer zu überprüfen, bevor sie auf das Netz zugreifen. Dem dient der schon im Jahr 2001 verabschiedete Protokollstandard IEEE 802.1x. Im Zusammenspiel mit einem Radius-Server (Radius = Remote Authentication Dial-in User Service) erlaubt er eine Port-basierende Authentisierung des Benutzers. Ursprünglich für LAN-Switches konzipiert, erfreut sich der Standard zunehmender Beliebtheit in Wireless-LAN-Umgebungen.

Die Geschichte von 802.1x

Die Idee zu 802.1x kam von Institutionen, die den Zugang zu öffentlichen Netzen einfach kontrollieren wollten (Universitäten, Behörden, Bibliotheken). Die gewünschte Lösung sollte kostengünstig und einfach zu implementieren sein. Dabei wollten die Anwender ihre bestehende Netzinfrastruktur und etablierte Protokolle verwenden. Virtual Private Networks (VPN) erfüllten zwar einige der Voraussetzungen, schieden aber als generelle Lösung aufgrund ihres hohen Ressourcenbedarfs und der komplexen Konfiguration aus.

802.1x-Funktionen

  • Zugangskontrolle (benutzerorientiertes Regelsystem),

  • Abrechnung (Billing und Accounting),

  • Bandbreitenzuweisung (Quality of Service = QoS pro User),

  • Anlegen von Benutzerprofilen (User Personalized Network = UPN),

  • Single Sign-on.

Das Konzept für 802.1x wurde schließlich gemeinsam von 3Com, Hewlett-Packard und Microsoft geschaffen und im Juni 2001 als IEEE-Standard verabschiedet. Das Modell wurde ursprünglich für Switches entwickelt (802.1d) und erst später für WLANs nach dem Standard 802.11 erweitert.