147048
Goto Top

Verständnisfrage 802.1X

Hallo zusammen,

ich habe versucht mich ein bisschen - rein aus Interesse - in das Thema 802.1X einzulesen.
Leider gibt es dazu nur eher wenige für "Einsteiger" verständliche und/oder "in-depth" Artikel.
Daher meine Frage: Wenn ich einen Supplicant z.B. via EAP-TLS (scheint soweit ich das verstanden habe best-practice zu sein) an meinem Authenticator "anmelde", ist der LAN-Verkehr dann nachhaltig (also vergleichbar mit ipsec) verschlüsselt oder bezieht sich der aufgebaute Tunnel nur auf den Anmeldeprozess?
Bzw. ist es grundsätzlich überhaupt möglich via 802.1X z.B. ipsec-tunnel in LANs zu "ersetzen"?

Viele Grüße

Content-Key: 638604

Url: https://administrator.de/contentid/638604

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: tikayevent
Lösung tikayevent 08.01.2021 um 00:16:40 Uhr
Goto Top
Nein, es ist nur die Authentifizierung abgesichert. Sobald diese abgeschlossen ist, werden Daten unverschlüsselt übertragen. Als Lösung dafür gibt es MACsec.
Mitglied: aqui
Lösung aqui 08.01.2021 aktualisiert um 08:33:09 Uhr
Goto Top
Kann man auch hier nachlesen:
https://de.wikipedia.org/wiki/IEEE_802.1X
Wen Radius Authentisierungs Traffic kann man natürlich über IPsec VPN Tunnel übertragen zu einem remoten Radius Server. Protduktivdaten sind dann aber nach der Authentisierung (EAPoL) nicht verschlüsselt und der Port verhält sich wie ein normaler Endgeräte Port. Ist auch nachvollziehbar, denn 802.1x ist rein eine Port Authentisierung und per se keine generelle Daten Verschlüsselung.
Weitere Forenthreads zum Thema 802.1x Port Authentication:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
usw.
Will man den gesamten Portraffic auf Layer 2 verschlüsseln ist dann, wie Kollege @tikayevent schon richtig sagt, halt MACsec das Feature der Wahl.