Extensible Authentication Protocol
aus Wikipedia, der freien Enzyklopädie
Extensible Authentication Protocol oder EAP ist ein Authentifizierungs-Protokoll, das oft mit PPP eingesetzt wird und verschiedene Authentifizierungsmechanismen unterstützt. Es wird oft für die Zugriffskontrolle auf Netzwerke genutzt.
Die Aushandlung des konkret eingesetzten Mechanismus erfolgt dabei erst während der Authentifizierungsphase, was den Einsatz eines Authentifizierungs-Servers erlaubt. Ein Supplicant (Bittsteller) ist ein User oder Client, welcher sich an einer Authentifizierungsstelle anmelden möchte, um für z. B. eine Verbindung authentifiziert zu werden. Der Authenticator gibt dabei im Prinzip nur die Authentifizierungs-Nachrichten vom Supplicant an den Server weiter.
Es können auch mehrere Mechanismen in Folge benutzt werden. Die Kontrolle darüber hat der Authenticator, der in einem Request das Verfahren bestimmt. Zur Auswahl stehen u. a. Identitätsabfrage (welche z. B. bei Dial-In-Verbindungen, aber nicht bei dedizierten Leitungen gebraucht wird), MD5-Challenge (entspricht großteils CHAP), One-Time-Passwörtern, Generic Token Cards, …
Nachdem ein Request-Paket vom Authenticator an den Supplicant gesendet wurde, antwortet dieser mit einem Response-Paket, das im Datenfeld die jeweilige Authentifizierung (Identität, Passwort, Hash-Wert, …) enthält. Daraufhin kann der Authenticator weitere Request-Pakete versenden. Abgeschlossen wird die Authentifizierung mit einem Success-/Failure-Paket vom Authenticator.
Inhaltsverzeichnis |
[Bearbeiten] Vorteile
Es können mehrere Authentifizierungsmechanismen (auch in Folge) verwendet werden, die nicht schon in der Verbindungs-Aufbau-Phase ausgehandelt werden müssen.
[Bearbeiten] Authentifizierungsverfahren
[Bearbeiten] Identität
Identifizierung möglicherweise durch den Benutzer, d. h. durch Eingabe einer User-ID. Im Request-Paket kann ein Aufforderungstext mitgeschickt werden, der dem Benutzer vor der Eingabe der ID angezeigt wird.
[Bearbeiten] Benachrichtigung
Im Datenteil des Pakets wird eine Meldung an den Benutzer transportiert, die diesem angezeigt wird. Z. B. Authentifizierungsfehler, Passwortablaufzeit, …
[Bearbeiten] NAK
(NAK = No Acknowledgement / Negative Acknowledgement). Dieser Typ darf nur in einer Response-Nachricht auftauchen. Es wird damit signalisiert, dass der Peer das gewünschte Authentifizierungsverfahren nicht unterstützt.
[Bearbeiten] MD5-Challenge
Dies entspricht CHAP mit MD5 als Hash-Algorithmus. In der Request-Message wird ein Zufallswert übertragen. Das Response-Paket enthält den Hash-Wert über diesen Zufallswert und ein nur den beiden Parteien bekanntes Passwort (siehe auch Challenge-Response-Authentifizierung).
[Bearbeiten] One-Time-Password
Die Request-Message enthält ein OTP-Challenge. Im Response-Paket steht das jeweilige One-Time-Passwort.
[Bearbeiten] TLS
Um ein aufwändiges Design von kryptographischen Protokollen zu vermeiden, wird hier der Authentifizierungsdialog von TLS verwendet.
Weit verbreitet ist das EAP-TLS-Verfahren, welches bei allen nach 802.11i standardisierten WLAN-Komponenten genutzt werden kann. Dabei prüft der Authenticator (Accesspoint/Router) die vom potentiellen Netzwerkteilnehmer (Notebook) übermittelten Authentifizierungsinformationen auf einem Authentifizierungsserver. (RADIUS)
[Bearbeiten] Weitere Verfahren
Es gibt ca. 40 EAP-Verfahren, darunter sind:
- Laut RFC: EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM, EAP-AKA
- Herstellerspezifisch: EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP, EAP-TTLS, EAP-IKEv2
