Was ist IEEE 802.1X?

IEEE 802.1X ist ein Standard, der Teil­neh­men­de für Netzwerke frei­schal­tet oder ablehnt. Die Methode wird von allen gängigen Be­triebs­sys­te­men un­ter­stützt.

Ver­ein­facht gesagt, handelt es sich bei IEEE 802.1X um einen Standard, der die un­ter­schied­li­chen Teil­neh­men­den in einem LAN- oder WLAN-Netzwerk überprüft und diesen dann den Zugang entweder erteilt oder verwehrt. Bei IEEE 802.1X handelt es sich dabei um einen ei­gen­stän­di­gen Standard, der auf der Si­che­rungs­schicht, der zweiten Schicht des OSI-Modells, agiert. Seine Haupt­auf­ga­be besteht darin, un­be­rech­tig­te Nut­ze­rin­nen und Nutzer bereits vor dem Zugriff auf ein IEEE-802-Netzwerk zu iden­ti­fi­zie­ren und die Umgebung so vor un­er­wünsch­ten Zugriffen zu schützen. Gleich­zei­tig erlaubt die Methode auch bisher lokal un­be­kann­ten Teil­neh­men­den, nach einer gründ­li­chen Prüfung auf das Netzwerk zu­zu­grei­fen.

IEEE 802.1X wurde 2001 vom Institute of Elec­tri­cal and Elec­tro­ni­cal Engineers (IEEE) ein­ge­führt und war ur­sprüng­lich nur für LAN-Netzwerke vor­ge­se­hen. Mitt­ler­wei­le wird der Standard aber auch für WLAN-Um­ge­bun­gen verwendet. Die Au­then­ti­fi­zie­rung und Au­to­ri­sie­rung werden dabei am phy­si­ka­li­schen Port des Netzwerks vor­ge­nom­men. Dafür kommen ver­schie­de­ne Pro­to­kol­le zum Einsatz. Neben der ge­läu­fi­gen Be­zeich­nung IEEE 802.1X wird der Standard auch manchmal als „IEEE Standard for Local and Me­tro­po­li­tan Area Networks – Port-Based Network Access Control“ (PNAC) be­zeich­net. Außer zur reinen Zu­gangs­kon­trol­le kann IEEE 802.1X dazu genutzt werden, Band­brei­ten zu­zu­wei­sen und die Netz­werk­nut­zung zu re­gu­lie­ren.

Das Verfahren zur Au­then­ti­fi­zie­rung mit IEEE 802.1X enthält drei Akteure: einen An­trag­stel­ler (Sup­pli­cant), einen Au­then­ti­ca­tor oder Un­ter­händ­ler sowie einen Au­then­ti­ca­ti­on Server (AS).

Bei den An­trag­stel­lern kann es sich um alle Geräte handeln, die sich nach den Netz­werks­re­geln zunächst au­then­ti­fi­zie­ren lassen müssen und nach IEEE 802.1X au­then­ti­fi­ziert werden können. Hierbei handelt es sich bei­spiels­wei­se um Rechner, Drucker, Scanner oder andere Geräte.

Der Au­then­ti­ca­tor übernimmt die ei­gent­li­che Über­prü­fung und ent­schei­det, ob der Sup­pli­cant Zugriff auf das Netzwerk erhält oder nicht. Er überprüft im IEEE-802.1X-Verfahren die Cre­den­ti­als (Be­rech­ti­gungs­nach­wei­se) des An­trag­stel­lers. Sind diese in Ordnung, gewährt er Einlass. Ent­spre­chen sie nicht den Regeln des Netzwerks, wird der Zugang ver­wei­gert. Der Au­then­ti­ca­tor ist ein WLAN-Access-Point, ein Router oder ein IEEE-802.1X-fähiger Switch.

Beim Au­then­ti­ca­ti­on Server handelt es sich um einen WLAN-Access-Point, einen RADIUS-Server oder ein LDAP-Gateway. Dieser stellt dem Au­then­ti­ca­tor einen Au­then­ti­fi­zie­rungs­dienst zur Verfügung und ist selbst dabei in einem ge­schütz­ten Netz in­stal­liert. Er gleicht die Cre­den­ti­als des An­trag­stel­lers mit den hin­ter­leg­ten und vorher de­fi­nier­ten Be­rech­ti­gun­gen ab.

Um sich die grund­sätz­li­che Funk­ti­ons­wei­se von IEEE 802.1X besser vor­stel­len zu können, kann man das Verfahren mit einer ge­wöhn­li­chen Zu­gangs­kon­trol­le ver­glei­chen. Ein Gast möchte dabei bei­spiels­wei­se Zugang zu einer Party erhalten. An der Tür gibt er seine Ein­la­dungs­kar­te an den Türsteher bzw. die Tür­ste­he­rin weiter. Diese Person scannt die Karte, erhält die Be­stä­ti­gung, dass der Gast ein­ge­la­den ist, und gewährt diesem dann Zugang zu den Räum­lich­kei­ten. Ist die Karte hingegen feh­ler­haft oder nicht vorhanden, muss der Gast draußen bleiben.

Bei IEEE 802.1X ist der Sup­pli­cant der Gast, der seine An­mel­de­da­ten per Ex­ten­si­ble Au­then­ti­ca­ti­on Protocol (EAP) an den Au­then­ti­ca­tor wei­ter­lei­tet. Dieser sendet die Cre­den­ti­als an den Au­then­ti­ca­ti­on Server, der sie mit den vorher fest­ge­leg­ten Be­rech­ti­gun­gen ver­gleicht. Die Be­rech­ti­gun­gen können dabei in einer einfachen Textdatei hin­ter­legt sein oder auf einer Datenbank liegen. Der Server überprüft die An­mel­de­da­ten und gibt das Ergebnis zurück an den Au­then­ti­ca­tor. Sind die Daten in Ordnung, schaltet dieser den Zugang zum Netzwerk frei, gewährt dem Sup­pli­cant Einlass und weist ihm unter Umständen noch Band­brei­ten für die Netz­werk­nut­zung zu. Bei falschen Cre­den­ti­als lehnt er den An­trag­stel­ler ab.

Der Einsatz von IEEE 802.1X bietet zahl­rei­che Vorteile. Der erste und größte Vorteil ist dabei si­cher­lich, dass die Methode der Standard und dadurch weit ver­brei­tet ist. IEEE 802.1X wird von allen gängigen Be­triebs­sys­te­men un­ter­stützt. Die Kontrolle lässt sich sehr einfach im­ple­men­tie­ren und bietet einen sehr guten Schutz vor un­ge­woll­ten Zugriffen. Auch seine Viel­sei­tig­keit spricht für IEEE 802.1X. Der Standard funk­tio­niert mitt­ler­wei­le nicht mehr nur für LAN-Netzwerke, sondern auch im Zu­sam­men­spiel mit WLAN und VLAN. Grund­sätz­lich lassen sich für jeden Sup­pli­cant eigene An­mel­de­vor­aus­set­zun­gen festlegen. Dazu kommen Zu­satz­funk­tio­nen wie Ver­wal­tungs­mög­lich­kei­ten oder die Be­reit­stel­lung und Zuteilung von Nut­zungs­band­brei­ten.

Während IEEE 802.1X von fast allen Be­triebs­sys­te­men wie Windows, macOS und Linux sowie vielen Netz­werk­ty­pen un­ter­stützt wird, gibt es einige Geräte, die den Standard nicht verwenden. Dazu gehören bei­spiels­wei­se einige Drucker oder Webcams. In diesen Fällen nutzt der Switch die MAC-Adresse des Hosts für die Au­then­ti­fi­zie­rung und erstellt daraus einen Nut­zer­na­men und ein Passwort. Diese Methode ist im Vergleich zu IEEE 802.1X al­ler­dings sehr anfällig und kann für un­er­laub­te Zugriffe miss­braucht werden.