Verständnisfrage 802.1X
Hallo zusammen,
ich habe versucht mich ein bisschen - rein aus Interesse - in das Thema 802.1X einzulesen.
Leider gibt es dazu nur eher wenige für "Einsteiger" verständliche und/oder "in-depth" Artikel.
Daher meine Frage: Wenn ich einen Supplicant z.B. via EAP-TLS (scheint soweit ich das verstanden habe best-practice zu sein) an meinem Authenticator "anmelde", ist der LAN-Verkehr dann nachhaltig (also vergleichbar mit ipsec) verschlüsselt oder bezieht sich der aufgebaute Tunnel nur auf den Anmeldeprozess?
Bzw. ist es grundsätzlich überhaupt möglich via 802.1X z.B. ipsec-tunnel in LANs zu "ersetzen"?
Viele Grüße
ich habe versucht mich ein bisschen - rein aus Interesse - in das Thema 802.1X einzulesen.
Leider gibt es dazu nur eher wenige für "Einsteiger" verständliche und/oder "in-depth" Artikel.
Daher meine Frage: Wenn ich einen Supplicant z.B. via EAP-TLS (scheint soweit ich das verstanden habe best-practice zu sein) an meinem Authenticator "anmelde", ist der LAN-Verkehr dann nachhaltig (also vergleichbar mit ipsec) verschlüsselt oder bezieht sich der aufgebaute Tunnel nur auf den Anmeldeprozess?
Bzw. ist es grundsätzlich überhaupt möglich via 802.1X z.B. ipsec-tunnel in LANs zu "ersetzen"?
Viele Grüße
Antworten-
- Mehr
Auf Facebook teilen
Auf Twitter teilen2 Antworten
- LÖSUNG tikayevent schreibt am 08.01.2021 um 00:16:40 Uhr
- LÖSUNG aqui schreibt am 08.01.2021 um 08:29:22 Uhr
LÖSUNG 08.01.2021 um 00:16 Uhr
LÖSUNG 08.01.2021, aktualisiert um 08:33 Uhr
Kann man auch hier nachlesen:
https://de.wikipedia.org/wiki/IEEE_802.1X
Wen Radius Authentisierungs Traffic kann man natürlich über IPsec VPN Tunnel übertragen zu einem remoten Radius Server. Protduktivdaten sind dann aber nach der Authentisierung (EAPoL) nicht verschlüsselt und der Port verhält sich wie ein normaler Endgeräte Port. Ist auch nachvollziehbar, denn 802.1x ist rein eine Port Authentisierung und per se keine generelle Daten Verschlüsselung.
Weitere Forenthreads zum Thema 802.1x Port Authentication:
https://administrator.de/tutorial/netzwerk-zugangskontrolle-802-1x-freer ...
https://administrator.de/tutorial/sichere-802-1x-wlan-benutzer-authentis ...
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
usw.
Will man den gesamten Portraffic auf Layer 2 verschlüsseln ist dann, wie Kollege @tikayevent schon richtig sagt, halt MACsec das Feature der Wahl.
https://de.wikipedia.org/wiki/IEEE_802.1X
Wen Radius Authentisierungs Traffic kann man natürlich über IPsec VPN Tunnel übertragen zu einem remoten Radius Server. Protduktivdaten sind dann aber nach der Authentisierung (EAPoL) nicht verschlüsselt und der Port verhält sich wie ein normaler Endgeräte Port. Ist auch nachvollziehbar, denn 802.1x ist rein eine Port Authentisierung und per se keine generelle Daten Verschlüsselung.
Weitere Forenthreads zum Thema 802.1x Port Authentication:
https://administrator.de/tutorial/netzwerk-zugangskontrolle-802-1x-freer ...
https://administrator.de/tutorial/sichere-802-1x-wlan-benutzer-authentis ...
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
usw.
Will man den gesamten Portraffic auf Layer 2 verschlüsseln ist dann, wie Kollege @tikayevent schon richtig sagt, halt MACsec das Feature der Wahl.
