Bei Wireless-LANs ist die Gefahr der unbefugten Nutzung des Netzwerkes weitgehend bekannt. Tatsächlich bestehen jedoch auch erhebliche Gefahrenpotentiale in leitungsgebundenen Netzen. Nach dem 802.1X Standard arbeitende Netze bieten die Möglichkeit, schon am Netzwerkzugangsport eine Benutzeridentifizierung vornehmen zu können, um ein benutzerorientiertes, regelbasierendes Zugangskontrollsystem zu errichten.

Dieses „intelligente Netz“ gewährt je nach vorgenommener
Authentifizierung Zugang zu den Serversystemen und Netzwerkbereichen („Schutzzonen“), die dem jeweiligen Arbeitsplatz und dem Nutzerprofil zugeordnet sind.

Die Einführung eines so leistungsfähigen und differenzierten Zugangsschutzes erfordert eine sorgfältige Planung, bei der wir Sie gerne unterstützen. Im Folgenden werden noch einmal die wesentlichen Bausteine einer solchen Umgebung dargestellt.

IEEE 802.1X - Komponenten

Supplicant

Die Endgeräte, die Zugang zum Netz haben wollen, müssen über eine „Supplicant“- Komponente verfügen, um mit dem authentisierenden Switch, dem so genannten Authenticator, zu kommunizieren. Die neueren Windows Clients (XP und W2KP) sind ab einem bestimmten Servicepack mit einer entsprechenden Software ausgestattet; bei älteren Systemen (W98, NT) kann sie nachinstalliert werden. Im Linux und Apple-Umfeld sind auch Clients verfügbar, wobei allerdings sicherzustellen ist, dass sie auch mit den eingesetzten Komponenten zusammenspielen. Andere Netzwerkgeräte wie Drucker, Thin Clients, IP-Telefone, Temperaturfühler etc. verfügen in der Regel nicht über eine entsprechende Software. Diese Systeme sind in separaten VLAN´s zu platzieren und müssen mit Systemen wie macmon auf MAC- Adress-Ebene geschützt werden.

EAP

Die Authentifizierung zwischen den verschiedenen Komponenten erfolgt über das „Extensible Authentication Protocol“, kurz EAP genannt. Da verschiedene Ausprägungen dieses Protokolls angreifbar sind, empfiehlt es sich auf alle Fälle, eine auf Public Key Zertifikaten beruhende Variante mit dynamischen Schlüsseln zu verwenden.

Authenticator

Die Switches leiten die Client-Anforderungen zur Überprüfung der Berechtigung an einen zentralen „Authentication-Server“, meist einem Radius-Server weiter, um dann den Switch-Port freigeben und einem entsprechenden VLAN zuordnen zu können. Alle Switches in den so abgesicherten Netzsegmenten müssen 802.1x unterstützen. Da für die Kommunikation zwischen dem Radius-Server und den Switches verschieden EAP-Varianten verwendet werden können, ist eine Ausstattung mit einheitlichen Switches empfehlenswert.

Authentication Server

Der „Authentication Server“ ist die zentrale Instanz für den Netzwerkzugang. Wenn er nicht erreichbar ist, kommt niemand mehr ins Netz! Er ist darum dringend hochverfügbar zu halten. Bei einer über mehrere Standorte verteilten Netzinfrastruktur, müssen die verschiedenen Lokationen gesondert abgesichert werden. Um eine rollenbasierte Zugangssteuerung zu erlauben, werden mehrere Verbindungen zum Client aufgebaut. Die erste für die Zulassung des Gerätes und weitere um den Anwender in das entsprechend priorisierte VLAN zu setzten. Um eine sinnvolle Zugangssteuerung zu betreiben, muss der Radius-Server eng mit dem jeweiligen Verzeichnisdienst verzahnt sein.

IEEE 802.1X - Implementierung

Der Aufwand für die Implementierung und den Betrieb eines nach IEEE 802.1X gesicherten Netzwerks ist hoch und nur unvollständig möglich, da eine Reihe von Endgeräten (Drucker, Thin-Clients, IP-Telefone, ...) nicht über ausreichende Voraussetzungen (Stichwort: Supplicant) verfügen.

macmon - Lösungsalternative

macmon ist eine Lösung, die bei allen Endgeräten und Netzwerkkomponenten den Netzwerkzugang überwacht, kostengünstig implementiert und kostengünstig betrieben werden kann. Darüber hinaus unterstützt macmon die Einführung des IEEE 802.1X Standards in Unternehmen, ohne Sicherheitslücken offen zu lassen. Bei der Architektur des Systems macmon wurde in erster Linie die schnelle und einfache Bereitstellung des IT Grundschutzes in den Vordergrund gestellt. Die Erweiterung des IT Grundschutzes aufgrund spezifischer Anforderungen im Unternehmen trägt macmon durch seinen modularen Aufbau und der Verfügbarkeit von weiteren Sicherheitsfunktionen Rechnung, die optional hinzugefügt werden können.

Für Endgeräte, die nicht mit einem „Supplicant“ ausgestattet werden können oder für Netzsegmente, die nicht über Authenticatoren verfügen, ist eine MAC- basierende Lösung (macmon) zu implementieren.

Weitere Informationen finden Sie in den Downloads