RFC 3580

IEEE 802.1X RFC 3580

Der IEEE Standard 802.1x bietet die Möglichkeit, den Zugang zum Datennetz (egal ob kabelgebunden oder per WLAN) zu kontrollieren: bevor ein Benutzer über einen Rechner Zugang zum Datennetz bekommt, muß er sich am Netzwerk authentisieren.

Der Authentisierung kann dabei benutzer- oder maschinenbezogen erfolgen. Erst nach erfolgreicher Authentisierung wird der Zugang zum Netzwerk vom Authenticator freigegeben.

Mit der Authentisierung können dem Benutzer bzw. Rechner (falls die Netzhardware dies unterstützt) auch bestimmte Netzwerkresourcen wie z.B. Bandbreite, Filterregeln, VLAN Zugehörigkeiten, etc. zugeordnet werden (user personalized network, policy based network).

Einige Netzwerkkamerahersteller (z.B. Axis, Sony) haben den Standard IEEE 802.1X zur Authentifizierung ihrer Geräte im Netzwerk integriert. Dabei ist zu beachten, dass nicht immer alle Modelle eines Herstellers diesen Standard unterstützen. Teilweise, ist dieses Feature nur höherwertigen Kameramodellen vorbehalten.

Quellen:

http://www.axis.com/de/products/video/about_networkvideo/security.htm

http://de.wikipedia.org/wiki/IEEE_802.1X


FUNKTIONSWEISE 802.1X & IP VIDEO

 

  • Eine Netzwerk-Kamera sendet eine Netzwerkzugriffsanforderung an einen Switch oder Zugriffspunkt.

 

  • Der Switch oder Zugriffspunkt leitet die Anforderung an einen Authentifizierungsserver weiter, z. B. einen RADIUS-Server oder die Appliance von forlan.

 

  •  Wenn die Authentifizierung erfolgreich ist, weist der Server den Switch oder Zugriffspunkt an, den Port zu öffnen, damit die Nutzdaten der Netzwerk-Kamera den Switch passieren und über das Netzwerk gesendet werden können.
 

 Die forlan Appliance Authentifiziert nach den Standards :

RFC 3580 & RFC 3748 & RFC 5216 

 
 
 Quelle: www.axis.com

 

 

FUNTIONSWEISE

  • IEEE 802.1X stellt eine Methode für die Authentifizierung und Autorisierung in IEEE 802-Netzen zur Verfügung.

  • Am Netzwerkzugang, einem physischen Port im LAN, einem logischen IEEE 802.1Q VLAN oder einem WLAN, erfolgt die Authentifizierung eines Teilnehmers durch den Authenticator, der mittels eines Authentifizierungsservers (RADIUS-Server) die durch den Teilnehmer (Supplicant) übermittelten Authentifizierungsinformationen prüft und gegebenenfalls den Zugriff auf die durch den Authenticator angebotenen Dienste (LAN, VLAN oder WLAN) zulässt oder abweist.“[1] 

  • Zur Authentifizierung wird das Extensible Authentication Protocol (EAP) oder Protocol verwendet,

    die forlan SEC-Appliance benützt die erweiterung EAP-TLS RFC 5216


ÜBERSICHTSTABELLE

 

Bezeichnung

Beschreibung

Beispiele

Supplicant   = Antragssteller

Alle IEEE 802.1X-authentifizierfähigen Geräte,   die sich gemäß Netzwerkpolitik am Netzwerk authentifizieren müssen, bevor dem   Netzwerkgerät der Zugriff auf die Ressourcen des Netzwerks erlaubt wird.

Netzwerkkamera, Encoder, Decoder, Client

Authenticator   = Beglaubiger

Die Rolle des Authenticators ist es, die   Authentizität des Supplicants zu überprüfen, ähnlich der Rolle eines   Türstehers im Rahmen einer Ausweiskontrolle.

IEEE 802.1X & RFC 5216 & RFC 3748 fähiger Switch 

 

Authentication   Server (AS)

Stellt dem Authenticator einen   Authentifizierungsdienst bereit. Die zu überprüfenden Credentials können   direkt auf dem AS liegen. Dieser dienst kann ein Radius-Serverdienst sein.

Sec Appliance,