Juniper Mist Access Assurance-Authentifizierungsmethoden
Stellen Sie Juniper Mist Access Assurance entweder mit 802.1X-Authentifizierung oder Nicht-802.1X-Authentifizierung bereit. Vergleichen Sie die verschiedenen Optionen, um den besten Ansatz für Ihr Unternehmen auszuwählen.
IEEE 802.1X ist ein Standard für die portbasierte Netzwerkzugriffskontrolle. Es bietet einen Mechanismus zur Authentifizierung von Geräten, die über einen Switch oder Access Point eine Verbindung zu einem LAN oder WLAN herstellen. Juniper Mist Access Assurance unterstützt sowohl die 802.1X-Authentifizierung als auch die Nicht-802.1X-Authentifizierung, d. h. MAC Authentication Bypass (MAB), für eine einheitliche Zugriffssteuerung in kabelgebundenen und drahtlosen Netzwerken.
Wir unterstützen die folgenden Methoden für einen sicheren Zugriff mit 802.1X:
- Extensible Authentication Protocol – Transportschicht Security (EAP-TLS) (basiert auf digitalen Zertifikaten)
- EAP-TTLS/PAP (Sicherheit auf getunnelter Transportschicht) (basierend auf Anmeldeinformationen)
Wir unterstützen die folgenden Nicht-802.1X-Authentifizierungsmethoden:
- MAC Authentication Bypass (MAB)
- Multi Pre-Shared Key (MPSK)
Zertifikatbasierte Authentifizierung und anmeldeinformationsbasierte Authentifizierung
Die 802.1X-Authentifizierungsmethode unterstützt die authentifizierungsbasierte Authentifizierung (Benutzername und Kennwort) und die zertifikatbasierte Authentifizierung.
Zertifikatsbasierte Authentifizierung
- Die zertifikatbasierte Authentifizierung ermöglicht die gegenseitige Authentifizierung zwischen Server- und Clientgeräten und implementiert Kryptografie, um einen sicheren Netzwerkzugriff zu gewährleisten.
- Digitale Zertifikate verwenden eine Public Key Infrastructure (PKI), die ein privates und öffentliches Schlüsselpaar erfordert.
- Ein Identitätsanbieter (IdP) ist bei der zertifikatbasierten Authentifizierung optional. Sie können einen IdP verwenden, um Benutzer- oder Geräteinformationen wie Kontostatus und Gruppeninformationen zu überprüfen.
- Zertifikate werden in einem gesicherten Speicher gespeichert.
- Die zertifikatbasierte Authentifizierung erfordert die Bereitstellung von Clientgeräten, für die Sie in der Regel die mobile Geräteverwaltung (Mobile Device Management, MDM) verwenden.
Juniper Mist Access Assurance kann in jede vorhandene PKI und Cloud-basierte IDPs wie Microsoft Azure AD, Okta oder Google Workspace integriert werden, um sicherzustellen, dass die zertifikatbasierte Authentifizierung in allen anwendbaren Anwendungsfällen implementiert wird.
Passwortbasierte Authentifizierung
- Für die kennwortbasierte Authentifizierung ist ein IdP für die Authentifizierung erforderlich. Da die meisten IdPs die Multi-Faktor-Authentifizierung (MFA) erzwingen, wird die passwortbasierte Authentifizierung in 802.1X-Umgebungen, insbesondere in drahtlosen Netzwerken, unpraktisch.
- Das Risiko von Person-in-the-Middle-Angriffen ist erheblich, da 802.1X MFA nicht gut verwaltet, insbesondere in einem drahtlosen Netzwerk.
Wir empfehlen die kennwortbasierte Authentifizierung nur für Szenarien, in denen eine PKI-Bereitstellung nicht sofort realisierbar ist, oder während des Übergangs zur zertifikatbasierten Authentifizierung. Vermeiden Sie passwortbasierte 802.1X-Authentifizierung in Netzwerken, die BYOD unterstützen, wegen potenzieller MITM-Angriffsvektoren.
802.1X-Authentifizierungsmethoden
Das 802.1X-Protokoll ist ein IEEE-Standard für die portbasierte Netzwerkzugangskontrolle (Network Access Control, NAC) an kabelgebundenen und drahtlosen Access Points. Die Hauptfunktion von 802.1X besteht darin, Authentifizierungskontrollen für alle Benutzer oder Geräte zu definieren, die versuchen, auf ein LAN oder WLAN zuzugreifen, und Ethernet-LANs vor unbefugtem Benutzerzugriff zu schützen. Darüber hinaus blockiert 802.1X jeglichen Datenverkehr von und zu einem Supplicant (Client) an der Schnittstelle, bis der Supplicant seine Anmeldeinformationen vorlegt und der Authentifizierungsserver (ein RADIUS-Server) sie validiert.
Der grundlegende 802.1X-Authentifizierungsmechanismus besteht aus drei Komponenten:
- Supplicant: Client-Geräte mit Authentifizierungssoftware. Das Clientgerät sucht den Zugriff auf das Netzwerk. Bei diesem Gerät kann es sich um einen Desktop- oder Laptop-Computer, ein Tablet, ein Smartphone usw. handeln.
- Authentifikator: Das erste Gateway, in der Regel ein Switch oder ein Access Point (AP), das die Zugriffsanforderung des Supplicants abfängt.
- Authentifizierungsserver: Vergleicht die ID des Supplicants mit den in einer Datenbank gespeicherten Anmeldeinformationen. Wenn die Anmeldeinformationen und die Supplicant-ID übereinstimmen, erhält der Supplicant Zugriff auf das Netzwerk.
Sehen wir uns an, wie Juniper Mist Access Assurance die einzelnen 802.1X-Authentifizierungsmethoden verwendet. Erfahren Sie Juniper Mist Anwendungsszenarien für Access Assurance.
EAP-TLS
EAP-TLS nutzt Zertifikate und Kryptografie, um eine gegenseitige Authentifizierung zwischen dem Client und dem Server zu ermöglichen. Sowohl der Client als auch der Server müssen ein digitales Zertifikat erhalten, das von einer Zertifizierungsstelle (Certificate Authority, CA) signiert wurde, der beide Entitäten vertrauen. Bei dieser Methode werden Zertifikate sowohl auf der Client- als auch auf der Serverseite für die Authentifizierung verwendet. Für diese Authentifizierung müssen der Client und der Server dem Zertifikat des jeweils anderen vertrauen.
Funktionen
- Verwendung von TLS für sichere Identitätstransaktionen
- Ein offener IETF-Standard, der von allen unterstützt wird
- Verwendet X.509-Zertifikate für die Authentifizierung
Abbildung 1 zeigt die EAP-TLS-Authentifizierungssequenz.
Der 802.1X-Standard spezifiziert EAP als Verschlüsselungsformat für die Datenübertragung zwischen einem Supplicant und einem Authentifikator.
Diese Methode führt einen Vier-Wege-Handshake mit den folgenden Schritten aus:
- Entweder initiiert der Authentifikator (z. B. ein AP) eine Sitzungsanfrage oder der Supplicant (ein drahtloses Clientgerät) sendet eine Sitzungsinitiierungsanfrage an den Authentifikator.
- Der Authentifikator sendet eine EAP-Anfrage an den Supplicant, in der er nach der Identität des Supplicants fragt.
- Der Supplicant sendet über den Authentifikator eine EAP-Antwort an den Authentifizierungsserver (Juniper Mist Access Assurance-Cloud).
- Der Authentifizierungsserver antwortet dem Clientgerät mit der Meldung "Server Hello", die ein Zertifikat enthält.
- Der Supplicant validiert das Serverzertifikat. Das heißt, der Supplicant überprüft, ob das Serverzertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert ist.
- Der Supplicant sendet über den Authentifikator eine "Client Hello"-Nachricht, um das Clientzertifikat dem Juniper Mist Access Assurance-Service zu präsentieren
- Juniper Mist Access Assurance überprüft, ob das Clientzertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert ist.
- Juniper Mist Access Assurance sucht nach den Quellen des konfigurierten Identitätsanbieters (IdP) und stellt eine Verbindung zu einem IdP her, um den Namen des Benutzers und einige grundlegende Attribute zu überprüfen.
- Juniper Mist Access Assurance führt eine Richtliniensuche durch und wendet rollen- und berechtigungsbasierten Zugriff auf das Client-Gerät an.
- Juniper Mist Access Assurance sendet Informationen über das VLAN und die zugewiesene Rolle an den Authentifikator, damit dieser den Supplicant dem richtigen Netzwerk zuordnen kann.
- Der Authentifikator sendet eine EAP-Erfolgsmeldung und bietet Zugriff auf den Supplicant.
Extensible Authentication Protocol – Getunneltes TLS (EAP-TTLS/PAP)
EAP-TTLS-PAP verwendet Benutzeranmeldeinformationen, wie Benutzername und Kennwort auf der Clientseite und Serverzertifikat auf der Serverseite, um die Authentifizierung durchzuführen. Wenn ein Clientgerät einen sicheren TLS-Tunnel mit einem Authentifizierungsserver einrichtet, übergibt es Anmeldeinformationen mithilfe des PAP-Protokolls an einen verschlüsselten Tunnel.
Abbildung 2 zeigt die EAP-TTLS/PAP-Authentifizierungssequenz.
Die EAP-TTLS/PAP-Authentifizierung umfasst die folgenden Schritte:
- Entweder initiiert der Authentifikator (z. B. ein AP) eine Sitzungsanfrage oder der Supplicant (ein drahtloses Clientgerät) sendet eine Sitzungsinitiierungsanfrage an den Authentifikator.
- Der Authentifikator sendet eine EAP-Anforderung, in der er um Identifikationsinformationen gebeten wird.
- Ein Supplicant sendet eine EAP-Antwort an den Authentifizierungsserver (Beispiel: Juniper Mist Access Assurance-Cloud).
- Der Authentifizierungsserver antwortet dem Clientgerät mit der Meldung "Server Hello", die ein Zertifikat enthält. Der Server sendet die Nachricht über den Authentifikator.
- Der Supplicant validiert das Serverzertifikat. Das heißt, der Supplicant überprüft, ob das Serverzertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert ist. Durch diese Validierung wird ein verschlüsselter TLS-Tunnel eingerichtet.
- Der Supplicant sendet Kontoanmeldeinformationen wie Benutzername und Kennwort über einen TLS-Tunnel an den Server. Der Supplicant verschlüsselt die Informationen mit Lightweight Directory Access Protocol over SSL (LDAPS) oder OAuth (HTTPS).
- Juniper Mist Access Assurance führt eine Suche in den konfigurierten Quellen des Identitätsanbieters durch, um den Namen des Benutzers sowie einige grundlegende Attribute zu finden.
- Juniper Mist Access Assurance führt eine Richtliniensuche durch und wendet rollen- und berechtigungsbasierten Zugriff auf das Client-Gerät an.
- Juniper Mist Access Assurance sendet Informationen über das VLAN und die zugewiesene Rolle an den Authentifikator, damit dieser den Supplicant dem richtigen Netzwerk zuordnen kann.
- Der Authentifikator sendet eine EAP-Erfolgsmeldung und bietet Zugriff auf den Supplicant.