Authentifizierung im Netzwerk

Authentifizierung im Netzwerk ist ein Vorgang bei dem festgestellt wird, wer eine Person oder eine Maschine ist. Im echten Leben weisen wir uns durch Unterschriften, Pässe und Karten aus. Im Internet ist die Authentifizierung durch die räumliche Trennung erschwert. Hier greift man auf symmetrische Schlüssel, Zertifikate und andere Authentifizierungsmechanismen zurück.

Im Zusammenhang mit der "Authentifizierung" tauchen auch häufig die Begriffe "Autorisierung" und "Authentisierung" auf. "Autorisierung" ist der Vorgang, bei dem ermittelt wird, welche Berechtigung die Person oder Maschine hat und was sie machen darf.
"Authentisierung" bedeutet, dass eine Person oder Maschine sich gegenüber eines Kommunikationspartners identifizieren muss.

Die Authentifizierung erfolgt zum Beispiel mit Benutzername und Passwort. Knackpunkt bei jeder Authentifizierung ist die Übertragung von Benutzername und Passwort. Erfolgt die Übertragung unverschlüsselt, dann kann ein Angreifer die Zugangsdaten abhören und für seine Angriffsversuche missbrauchen.
Der sichere Betrieb von VPNs und Zugang zu Netzwerken ist nur mit einer guten und verschlüsselten Authentifizierung möglich. Um Sicherheit in einem Netzwerk herzustellen sollte man niemals die Authentifizierung vernachlässigen.

Übersicht: Authentifizierung

• Pre-Shared-Key
• Zertifikat
• Kerbero
• SecurI

Pre-Shared-Key

Ein Pre-Shared-Key ist ein symmetrischer Schlüssel (Passwort), das vor einer Verbindungsaufnahme ausgetauscht werden muss. Es handelt sich dabei um einen unsignierten Schlüssel, der frei wählbar ist.
Damit ein unsignierter Schlüssel ein wenig Sicherheit verspricht, sollte es sich dabei um ein sehr schwer zu erratendes Passwort handeln.
Wer den Schlüssel kennt, bekommt Zugang zu einem Netzwerk. Das bedeutet auch, wer ungewollt an den Schlüssel gelangt, der kann auch eine Verbindung belauschen. Sobald auch nur der Verdacht besteht, dass der Schlüssel Dritten bekannt sein könnte, muss er ausgetauscht werden. Vorsichtshalber sollte der Schlüssel regelmäßig ausgetauscht werden, was natürlich aufwendig ist. Sicherer ist der Einsatz von Zertifikaten, durch die auch der vorherige Schlüsselaustausch entfällt.

Zertifikat

Bei der Authentifizierung mit Zertifikaten kommt ein asymmetrischer, zertifizierter Schlüssel zum Einsatz. Nach der erfolgreichen Authentifizierung wird der Schlüssel für die symmetrische Verschlüsselung berechnet.
Bei X.509v3-Zertifikaten wird ein öffentlicher Schlüssel an eine Identität gekoppelt und durch eine Certification Authority (CA) beglaubigt.
Der Einsatz von Zertifikaten zieht einen hohen Verwaltungsaufwand nach sich. Es ist eine Organisation und Infrastruktur notwendig, die Zertifikate beantragt, ausstellt und verteilt.

Zertifikate werden nicht nur bei der Authentifizierung, sondern auch bei der gesicherten Übertragung von E-Mails, dem Webseiten-Abruf (SSL/TLS) oder dem Code-Signing verwendet.

Software für die Verwaltung von Zertifikaten

• Windows Server
• OpenCA
• TinyCA
• Easy-RA (OpenVPN)

Protokolle für die Authentifizierung

• PAP - Password Authentication Protocol
• CHAP - Challenge Handshake Authentication Protocol
• MS-CHAP - Microsoft CHAP
• EAP - Extensible Authentication Protocol

Authentifizierungsverfahren

• IEEE 802.1x / RADIUS