Cryptography Reference
In-Depth Information
■
EAP-TTLS
ist eine Erweiterung von EAP-TLS [BlaFun]. Es unterstützt nicht
nur digitale Zertifikate, sondern auch andere EAP-Mechanismen wie MD5-
Challenge-Response oder Einmal-Passwörter. Die Authentifizierung erfolgt
mithilfe eines AAA-Servers.
EAP wurde zwar ursprünglich für PPP konzipiert, doch inzwischen kommt es
auch in anderen Bereichen zum Einsatz. Viele der neueren EAP-Methoden sind
sogar für PPP ungeeignet. Eine große Bedeutung hat EAP vor allem im Bereich
Wireless LAN erlangt. Dort wird eine EAP-Variante eingesetzt, die im Standard
IEEE 802.1x festgelegt ist und kurz 802.1x genannt wird. Einige der existieren-
den EAP-Methoden wurden speziell für 802.1x entwickelt. Von diesem Thema
wird in diesem Kapitel noch die Rede sein.
33.1.3
ECP und MPPE
Das
Encryption Control Protocol
(
ECP
) sorgt für eine Verschlüsselung von Daten,
die per PPP übertragen werden. Es ist damit die Datenaustauschroutine des
sicheren Kanals. ECP ist in [RFC1968] spezifiziert, [RFC2419] und [RFC2420]
beschreiben Erweiterungen davon. ECP setzt voraus, dass Alice und Bob einen
gemeinsamen geheimen Schlüssel besitzen - dieser Schlüssel kann beispielsweise
zuvor mit EAP ausgetauscht worden sein. ECP bietet Alice und Bob die Möglich-
keit, ein Verschlüsselungsverfahren auszuhandeln. In RFC 2419 sind Details für
die Verwendung des DES im Zusammenhang mit ECP beschrieben, in RFC 2419
geht es um die Nutzung von Triple-DES. Die Firma Microsoft hat eine eigene
Variante von ECP entwickelt, die als
MPPE
(
Microsoft Point-To-Point Encryp-
tion
) bezeichnet wird. MPPE sieht die Verwendung von RC4 mit einer Schlüssel-
länge von 40 oder 128 vor. Die Details werden in [RFC3078] beschrieben.
33.1.4
Virtuelle Private Netze in Schicht 2
Die Firma Krypt & Co. betreibt an zwei verschiedenen Standorten jeweils ein
lokales Netz. Diese beiden Netze möchte das Unternehmen miteinander verbin-
den, ohne sie gegenüber dem Internet zu öffnen. Dazu bietet sich folgende Lösung
an: Ein Router im lokalen Netz wird mit einem Router im anderen lokalen Netz
auf Schicht 2 über PPP verbunden. Eine derartige Verbindung zweier Netze wird
als
LAN-Kopplung
bezeichnet. Eine LAN-Kopplung kann über das Internet rea-
lisiert werden. Dies bedeutet, dass zwischen den beiden Routern unterhalb von
PPP ein für diesen Zweck geeignetes Schicht-7-Protokoll verwendet wird. Man
nennt einen solchen Vorgang
Tunneln
(obwohl »Überbrücken« sicherlich eine
etwas glücklichere Bezeichnung wäre). Das besagte Schicht-7-Protokoll wird
Tunnelprotokoll
genannt. Wie die unterschiedlichen TCP/IP-Protokolle bei einer
LAN-Kopplung zusammenspielen, ist in Abbildung 33-2 ersichtlich. Das Tunnel-
protokoll verwendet (wie andere Schicht-7-Protokolle) TCP oder UDP, darunter
