A k u t e s B e d ü r f n i s , h ä u f i g u n t e r s c h ä t zt : Di e s t a n d a r d i s i e r t e Z u g r i f f s k o n t r o l l e i m Fi r m e n n e t z Zunehmende Gefahren fordern ein Umdenken. Externe Besucher wollen in Sitzungszimmern um Internet-Zugang zu erhalten nur kurz ihr tragbares Gerät anschliessen. Mitarbeitende nehmen ihre privaten Geräte von zu Hause mit, um sie ans Firmennetz anzudocken. Irreparable Schäden durch Viren, Würmer und dayzero Exploits legen Netzwerke teils für Tage lahm. Patrick Fischer Dipl. El.-Ing. ETH Master Business Engineering CCIE / CISSP Patrick Fischer ist Senior Business Engineer für Security Integration bei tetrade ag (Zürich und Bern) und befasst sich seit 1997 mit Informationssicherheit. Er hat mehrere Netzwerk-Sicherheitsprojekte im Bereich Zugangsschutz bei Schweizer Grossunternehmen erfolgreich abgeschlossen. Die vorhandenen Lücken im draht- Der Transport der Authentifiziegebundenen Unternehmensnetzwerk rungsinformationen wird mittels sind vielerorts erkannt und der EAP (Extensible Authentication Bedarf an einer schnellen Lösung Protocol) sichergestellt. IEEE 802.1x ein akutes Bedürfnis. Ein Schutz- und EAP sind daher zwei Protokolmechanismus mit Zugangskontrol- le, die im Rahmen dieses Themas le hilft, den erwähnten Gefahren praktisch einher genannt werden. entgegen zu wirken. Doch wer IEEE 802.1x und EAP ein unglaubt, die Einführung des viel verzentrennbares Doppel sprechenden IEEE 802.1x-Standards Im IEEE 802.1x-Standard werden sei mit einer einfachen Konfiguratineue Begriffe eingeführt: Der so onserweiterung der Netzwerkinfragenannte Supplicant (z.B. ein Winstruktur gleichzusetzen, wird schnell dows XP Endgerät oder ein Druauf den Boden der Realität geholt. cker) möchte Zugang zum NetzEs sind vor allem werk erlangen und Technologien wie «Die traditionelle Sicht übermittelt zu diePKI (Public Key sem Zweck Authendes SicherheitsperimeInfrastructure), tifizierungsinformaters an den physischen unterschiedliche tionen an den AuGrenzen der UnternehEndgerätelandthenticator (z.B. LANschaften oder mung ist längst passé.» Switch). Dieser wieunvollständige derum transportiert IT-Inventare jene Themen, welche die Authentifizierungsinformationen die besondere Herausforderung zwecks Verifikation an den Authendarstellen. tication Server (z.B. ein RADIUSWas ist IEEE 802.1x? Server). Der IEEE-Standard 802.1x definiert die so genannte portbasierte Je nach Resultat der Verifikation Netzwerkzugangskontrolle. Diese gewährt der Authenticator dem wird erreicht, in dem ein Netzwerk- Supplicant nun Zugang zum restligerät (z.B. LAN-Switch) vom direkt chen Unternehmensnetzwerk oder angehängten Endgerät (z.B. Win- blockiert diesen. Mit dem zunehdows XP PC) eine Identifikation mit menden Bekanntheitsgrad von anschliessender Authentifizierung IEEE 802.1x sind die Möglichkeifordert, bevor der Zugang zum ten in diesem Bereich von Netzgesamten Netzwerk gewährt wird. werkgeräte-Herstellern erweitert wor- 1 den. So bietet ein Hersteller z.B. die Option, dass der Authenticator bei einer inkorrekten Authentifizierung den Zugang nicht vollständig blockiert, sondern Mechanismen anbietet, dem Gerät einen restriktiven Weg ins Netz zu geben. Zum Beispiel gerade soviel, um den Benutzer über diesen Umstand zu informieren. Bereich zusammengeschaltet werden. Damit kann z.B. ein durch einen Wurm infiziertes Gerät alle anderen sich im Gäste-Bereich befindenden Geräte ebenfalls infizieren. Glücklich kann sich an dieser Stelle schätzen, wer bereits über alternative Sicherungen des Netzwerkzugangs verfügt, wie beispielsweise ein NAS (Network Authentication Service). gang zum Netz (z.B. zum DHCPServer, um eine IP-Adresse zu erlangen). Bevor aber die Authentifizierung nicht erfolgt ist, gewährt der als Authenticator agierende LAN-Switch diesen nicht und kann das Gerät höchstens in den erwähnten Gäste-Bereich verschieben, womit sich wieder die Gefahr der Wurm-Infizierung ergibt. EAP-TLS ist schwieriger umzusetzen und fordert ein gutes Zusammenspiel von verschiedenen Unternehmensstellen, da bei der Verwaltung von Zertifikaten, deren Installation auf die Geräte respektive Verteilung an die Benutzer mehrere Stellen involviert sind. Durch die Möglichkeit der Nutzung so genannter Maschinen-Zertifikate kann die Authentifizierung des Gerätes jedoch unabhängig vom Benutzer stattfinden, womit die oben erwähnte Herausforderung gelöst werden kann. IEEE 802.1x Nomenklatur Herausforderungen & Best Practice Eine interessante Herausforderung stellen jene Endgeräte dar, die den Standard IEEE 802.1x nicht unterstützen. Davon gibt es vor allem in grösseren, verschiedenartigen Unternehmensnetzwerken zahlreiche. Ein oft begangener Fehler bei der Umsetzung eines IEEE 802.1x-Projektes ist es, die Anzahl dieser Spezialfälle in Unkenntnis des genauen Inventars zu unterschätzen. Wer kennt nicht den alten Windows-NT 3.51 Server, der beim Arbeitskollegen unter dem Pult still vor sich hin werkelt, in keinem Inventar aufgeführt ist und trotzdem wichtige Daten auf sich trägt? Zwar wird auch hier von den Herstellern eine Alternative angeboten. Diese hat jedoch den grossen Nachteil, dass alle Endgeräte ohne IEEE 802.1xUnterstützung in einer Art Gäste- Die EAP-Authentifizierungsformen im Vergleich Das oben erwähnte EAP bietet verschiedene Möglichkeiten von Authentifizierungsinformationen, welche Supplicants präsentieren können, um Zugang zum Netz zu erlangen. Die beiden bekanntesten sind EAP-MD5 (Übertragung von Credentials im Sinne von Username/Passwort) und EAP-TLS (Authentifizierung basierend auf Supplicant- respektive Authentication-Server-Zertifikaten). EAP-MD5 ist einfach zu implementieren, hat jedoch einen Nachteil: Die für die Authentifizierung benötigten Informationen wie Username und Passwort müssen z.B. bei einem Windows-XP-Endgerät zuerst vom Benutzer abgefragt werden. Das Gerät benötigt jedoch lange vor diesem Zeitpunkt Zu- Fazit Unabhängig von der jeweiligen Lösungsvariante stellt die Einführung von IEEE 802.1x im Netzwerk nicht selten eine grössere Herausforderung als erwartet dar und erfordert ein straff geführtes Infrastruktur-Projekt über verschiedene Organisationseinheiten. Ein klar strukturiertes Vorgehen und definierte, messbare Ziele sind für den Erfolg unabdingbar. Wird das Projekt aus einer spezifischen Ecke (Netzwerk, PKI, etc.) getrieben, dürfte das Vorhaben wegen der fehlenden Gesamtübersicht sehr bald Schiffbruch erleiden, es empfiehlt sich daher ein mit der Security Policy des Unternehmens abgestimmtes Vorgehen, welches auf hoher Management-Ebene gesteuert wird. 2
© Copyright 2024 ExpyDoc
