referentie A001B


Overzicht van trefwoorden en jargon


802.1x

Een protocol vastgelegd door het Institute of Electrical and Electronics Engineers. Hoewel het veel gebruikt wordt bij het beveiligen van draadloos internet is het geen draadloze standaard. 802.1x heeft te maken met het al dan niet toelaten van gebruikers op een netwerk (authenticatie))en het toewijzen van bepaalde encryptiesleutels aan bepaalde gebruikers (Key management).

De bestaande draadloze communicatiestandaarden voor netwerken (802.11a, b en g) bevatten mogelijkheden om het signaal te versleutelen via WEP, Wireless Encryption Protocol. Dit is voor kort contact een veilige standaard, echter als iemand maar langere tijd achter elkaar dezelfde sleutel gebruikt kan iemand die het signaal opvangt de sleutel ontcijferen en op deze manier ongewenst toegang krijgen tot het netwerk. Dit kan men voorkomen door op tijd de sleutel van de encryptie te vernieuwen. Helaas is dit zeker bij een groter netwerk onhandig geregeld en een heel karwei. 802.1x biedt een methode om dit automatisch te laten doen.

802.1x bindt een protocol genaamd EAP aan zowel de gewone als de draadloos verbonden media en ondersteunt meerdere methoden van authenticatie: wachtwoorden, certificaten, sleutels, etc. Bij het opstarten van een 802.1x verbinding wordt door het toegangspunt (vaak een Wireless Access point) een poort vrijgegeven waar alleen EAP pakketjes door kunnen worden getransporteerd. Ieder ander verkeer (HTTP, DHCP, POP3 enzovoorts) wordt tegengehouden. Het Access point controleert via bijvoorbeeld een RADIUS verbinding of deze gebruiker wel toegang mag hebben tot het netwerk. Pas als deze vraag bevestigend wordt beantwoord wordt ook het andere verkeer toegelaten.

Om enig beeld te schetsen van de werking van 802.1x, het onderstaande voorbeeld:

  1. De gebruiker zendt een EAP bericht naar het toegangspunt. Dit start een uitwisseling van berichten om vast te stellen of de gebruiker is wie hij zegt te zijn. Denk aan een groep mensen voor de ingang van een bioscoop. De voorste in de rij vraagt om toegang.
  2. Het toegangspunt stuurt een EAP bericht terug waarin wordt gevraagd om informatie. Paspoort en rijbewijs graag!
  3. De gebruiker zendt een EAP antwoord met de gevraagde informatie naar het toegangspunt. Het toegangspunt zendt deze informatie vervolgens door naar het authenticatiepunt. De portier belt als het ware met de directeur met de vraag of deze groep dames en heren wel toegan mogen hebben tot de bioscoop.
  4. Het authenticatiepunt zend een EAP toegangsbevestiging of toegangsweigering naar het toegangspunt. In dit voorbeeld gaan we er van uit dat de directie het goed vindt. De portier krijgt instructies om de groep door te laten.
  5. Het toegangspunt zendt een EAP bericht naar de gebruiker met de mededeling dat de toegang vrij is of niet vrij is. De portier vertelt de voorste in de rij dat zijn groep door mag lopen.
  6. Als toegang wordt verleend zet het toegangspunt de poort open voor ander dan alleen EAP verkeer. De voorste in de rij en de rest van zijn groep mogen doorlopen.
Een configuratie met het 802.1x protocol verschaft effectieve gecontrolleerde toegang, ongeacht of er 802.11 WEP versleuteling of niet gebruikt wordt. In de meeste wireless toegepaste 802.1x configuraties kan de client zo vaak als het gewenst is zijn encryptiesleutel veranderen. Zo hebben afluisteraars van de verbinding niet de tijd om de sleutel snel genoeg te ontcijferen.

802.1X is echter op zichzelf niet de oplossing voor alle beveilgingsproblemen met wireless toegang.
Het protocol bevat zelf geen authenticatie mechanisme. Wanneer een gebruiker 802.1x in gebruik neemt dient hij een EAP type als Transport Layer Security (EAP-TLS) of EAP Tunneled Transport Layer Security (EAP-TTLS) te kiezen, welke definieert hoe de autenticatie wordt afgehandeld.

Het is belangrijk om te beseffen dat de software welke het specifieke EAP type ondersteunt op de authenticatie server en in de OS Van de client software draait. Het access point geeft de gegevenas door. Dit betekent dat u een nieuw EAP type kunt gebruiken zonder dat de 802.1x instellingen en mogelijkheden van het access point behoeven te worden aangepast.