Was ist IEEE 802.1X?

IEEE 802.1X ist ein Standard, der Teilnehmende für Netzwerke freischaltet oder ablehnt. Die Methode wird von allen gängigen Betriebssystemen unterstützt.

Vereinfacht gesagt, handelt es sich bei IEEE 802.1X um einen Standard, der die unterschiedlichen Teilnehmenden in einem LAN- oder WLAN-Netzwerk überprüft und diesen dann den Zugang entweder erteilt oder verwehrt. Bei IEEE 802.1X handelt es sich dabei um einen eigenständigen Standard, der auf der Sicherungsschicht, der zweiten Schicht des OSI-Modells, agiert. Seine Hauptaufgabe besteht darin, unberechtigte Nutzerinnen und Nutzer bereits vor dem Zugriff auf ein IEEE-802-Netzwerk zu identifizieren und die Umgebung so vor unerwünschten Zugriffen zu schützen. Gleichzeitig erlaubt die Methode auch bisher lokal unbekannten Teilnehmenden, nach einer gründlichen Prüfung auf das Netzwerk zuzugreifen.

IEEE 802.1X wurde 2001 vom Institute of Electrical and Electronical Engineers (IEEE) eingeführt und war ursprünglich nur für LAN-Netzwerke vorgesehen. Mittlerweile wird der Standard aber auch für WLAN-Umgebungen verwendet. Die Authentifizierung und Autorisierung werden dabei am physikalischen Port des Netzwerks vorgenommen. Dafür kommen verschiedene Protokolle zum Einsatz. Neben der geläufigen Bezeichnung IEEE 802.1X wird der Standard auch manchmal als „IEEE Standard for Local and Metropolitan Area Networks – Port-Based Network Access Control“ (PNAC) bezeichnet. Außer zur reinen Zugangskontrolle kann IEEE 802.1X dazu genutzt werden, Bandbreiten zuzuweisen und die Netzwerknutzung zu regulieren.

Was wird für IEEE 802.1X benötigt?

Das Verfahren zur Authentifizierung mit IEEE 802.1X enthält drei Akteure: einen Antragsteller (Supplicant), einen Authenticator oder Unterhändler sowie einen Authentication Server (AS).

Supplicant

Bei den Antragstellern kann es sich um alle Geräte handeln, die sich nach den Netzwerksregeln zunächst authentifizieren lassen müssen und nach IEEE 802.1X authentifiziert werden können. Hierbei handelt es sich beispielsweise um Rechner, Drucker, Scanner oder andere Geräte.

Authenticator

Der Authenticator übernimmt die eigentliche Überprüfung und entscheidet, ob der Supplicant Zugriff auf das Netzwerk erhält oder nicht. Er überprüft im IEEE-802.1X-Verfahren die Credentials (Berechtigungsnachweise) des Antragstellers. Sind diese in Ordnung, gewährt er Einlass. Entsprechen sie nicht den Regeln des Netzwerks, wird der Zugang verweigert. Der Authenticator ist ein WLAN-Access-Point, ein Router oder ein IEEE-802.1X-fähiger Switch.

Authentication Server

Beim Authentication Server handelt es sich um einen WLAN-Access-Point, einen RADIUS-Server oder ein LDAP-Gateway. Dieser stellt dem Authenticator einen Authentifizierungsdienst zur Verfügung und ist selbst dabei in einem geschützten Netz installiert. Er gleicht die Credentials des Antragstellers mit den hinterlegten und vorher definierten Berechtigungen ab.

Wie funktioniert IEEE 802.1X?

Um sich die grundsätzliche Funktionsweise von IEEE 802.1X besser vorstellen zu können, kann man das Verfahren mit einer gewöhnlichen Zugangskontrolle vergleichen. Ein Gast möchte dabei beispielsweise Zugang zu einer Party erhalten. An der Tür gibt er seine Einladungskarte an den Türsteher bzw. die Türsteherin weiter. Diese Person scannt die Karte, erhält die Bestätigung, dass der Gast eingeladen ist, und gewährt diesem dann Zugang zu den Räumlichkeiten. Ist die Karte hingegen fehlerhaft oder nicht vorhanden, muss der Gast draußen bleiben.

Bei IEEE 802.1X ist der Supplicant der Gast, der seine Anmeldedaten per Extensible Authentication Protocol (EAP) an den Authenticator weiterleitet. Dieser sendet die Credentials an den Authentication Server, der sie mit den vorher festgelegten Berechtigungen vergleicht. Die Berechtigungen können dabei in einer einfachen Textdatei hinterlegt sein oder auf einer Datenbank liegen. Der Server überprüft die Anmeldedaten und gibt das Ergebnis zurück an den Authenticator. Sind die Daten in Ordnung, schaltet dieser den Zugang zum Netzwerk frei, gewährt dem Supplicant Einlass und weist ihm unter Umständen noch Bandbreiten für die Netzwerknutzung zu. Bei falschen Credentials lehnt er den Antragsteller ab.

Welche Vorteile hat IEEE 802.1X?

Der Einsatz von IEEE 802.1X bietet zahlreiche Vorteile. Der erste und größte Vorteil ist dabei sicherlich, dass die Methode der Standard und dadurch weit verbreitet ist. IEEE 802.1X wird von allen gängigen Betriebssystemen unterstützt. Die Kontrolle lässt sich sehr einfach implementieren und bietet einen sehr guten Schutz vor ungewollten Zugriffen. Auch seine Vielseitigkeit spricht für IEEE 802.1X. Der Standard funktioniert mittlerweile nicht mehr nur für LAN-Netzwerke, sondern auch im Zusammenspiel mit WLAN und VLAN. Grundsätzlich lassen sich für jeden Supplicant eigene Anmeldevoraussetzungen festlegen. Dazu kommen Zusatzfunktionen wie Verwaltungsmöglichkeiten oder die Bereitstellung und Zuteilung von Nutzungsbandbreiten.

MAC-Adresse als Alternative zu IEEE 802.1X

Während IEEE 802.1X von fast allen Betriebssystemen wie Windows, macOS und Linux sowie vielen Netzwerktypen unterstützt wird, gibt es einige Geräte, die den Standard nicht verwenden. Dazu gehören beispielsweise einige Drucker oder Webcams. In diesen Fällen nutzt der Switch die MAC-Adresse des Hosts für die Authentifizierung und erstellt daraus einen Nutzernamen und ein Passwort. Diese Methode ist im Vergleich zu IEEE 802.1X allerdings sehr anfällig und kann für unerlaubte Zugriffe missbraucht werden.