147048
Jan 07, 2021
1516
2
0
Verständnisfrage 802.1X
Hallo zusammen,
ich habe versucht mich ein bisschen - rein aus Interesse - in das Thema 802.1X einzulesen.
Leider gibt es dazu nur eher wenige für "Einsteiger" verständliche und/oder "in-depth" Artikel.
Daher meine Frage: Wenn ich einen Supplicant z.B. via EAP-TLS (scheint soweit ich das verstanden habe best-practice zu sein) an meinem Authenticator "anmelde", ist der LAN-Verkehr dann nachhaltig (also vergleichbar mit ipsec) verschlüsselt oder bezieht sich der aufgebaute Tunnel nur auf den Anmeldeprozess?
Bzw. ist es grundsätzlich überhaupt möglich via 802.1X z.B. ipsec-tunnel in LANs zu "ersetzen"?
Viele Grüße
ich habe versucht mich ein bisschen - rein aus Interesse - in das Thema 802.1X einzulesen.
Leider gibt es dazu nur eher wenige für "Einsteiger" verständliche und/oder "in-depth" Artikel.
Daher meine Frage: Wenn ich einen Supplicant z.B. via EAP-TLS (scheint soweit ich das verstanden habe best-practice zu sein) an meinem Authenticator "anmelde", ist der LAN-Verkehr dann nachhaltig (also vergleichbar mit ipsec) verschlüsselt oder bezieht sich der aufgebaute Tunnel nur auf den Anmeldeprozess?
Bzw. ist es grundsätzlich überhaupt möglich via 802.1X z.B. ipsec-tunnel in LANs zu "ersetzen"?
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 638604
Url: https://administrator.de/contentid/638604
Printed on: April 25, 2024 at 09:04 o'clock
2 Comments
Latest comment
Nein, es ist nur die Authentifizierung abgesichert. Sobald diese abgeschlossen ist, werden Daten unverschlüsselt übertragen. Als Lösung dafür gibt es MACsec.
Kann man auch hier nachlesen:
https://de.wikipedia.org/wiki/IEEE_802.1X
Wen Radius Authentisierungs Traffic kann man natürlich über IPsec VPN Tunnel übertragen zu einem remoten Radius Server. Protduktivdaten sind dann aber nach der Authentisierung (EAPoL) nicht verschlüsselt und der Port verhält sich wie ein normaler Endgeräte Port. Ist auch nachvollziehbar, denn 802.1x ist rein eine Port Authentisierung und per se keine generelle Daten Verschlüsselung.
Weitere Forenthreads zum Thema 802.1x Port Authentication:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
usw.
Will man den gesamten Portraffic auf Layer 2 verschlüsseln ist dann, wie Kollege @tikayevent schon richtig sagt, halt MACsec das Feature der Wahl.
https://de.wikipedia.org/wiki/IEEE_802.1X
Wen Radius Authentisierungs Traffic kann man natürlich über IPsec VPN Tunnel übertragen zu einem remoten Radius Server. Protduktivdaten sind dann aber nach der Authentisierung (EAPoL) nicht verschlüsselt und der Port verhält sich wie ein normaler Endgeräte Port. Ist auch nachvollziehbar, denn 802.1x ist rein eine Port Authentisierung und per se keine generelle Daten Verschlüsselung.
Weitere Forenthreads zum Thema 802.1x Port Authentication:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
usw.
Will man den gesamten Portraffic auf Layer 2 verschlüsseln ist dann, wie Kollege @tikayevent schon richtig sagt, halt MACsec das Feature der Wahl.
