VLAN-Sicherheit dank Authentifizierung
Artikel erschienen in Swiss IT Magazine 2006/11
Virtuelle LANs (VLANs) haben sich als gute Möglichkeit erwiesen, mehrere unabhängige – virtuelle – Netze innerhalb einer gemeinsamen Infrastruktur zu betreiben. Dies ist dann von Vorteil, wenn man Unternehmensteile voneinander trennen will, so dass die Finanzabteilung und die Produktion eigene Netze erhalten. In diesem Fall dient das VLAN jedoch eher der Kontrolle des Nachrichtenflusses als der Absicherung.
Während der letzten Jahre hat sich die VLAN-Technologie – vor allem die Bereiche Switching und Routing – stark weiterentwickelt. Doch während die Performance ständig verbessert sowie neue Features und Funktionalitäten hinzugefügt wurden, ist die Architektur im Hinblick auf die Sicherheit weitgehend gleichgeblieben. Lange beschränkte sich der Security-Aspekt auf die erprobten Access Control Lists (ACL) an zentralen Routern oder Firewalls. Damit hat man jedoch keine ausreichenden Kontrollmöglichkeiten, um den gegenwärtigen und zukünftigen Bedrohungen adäquat zu begegnen, da diese «zu spät» eingreifen: Komplette VLAN/IP-Subnetz-Bereiche sind intern ungeschützt.
Eine ACL enthält lediglich die statische Information, ob einem Benutzer anhand der IP-Adresse eine bestimmte Zugriffsart erlaubt oder verweigert wird. Bedenkt man die Breite der Geräte und Anwendungen in einem VLAN, wird deutlich, dass dieser Ansatz nicht geeignet ist, hinreichende Sicherheit herzustellen. Geräte können sich direkt innerhalb eines VLANs beeinflussen (z.B. mit einem Virus infizieren oder eine Denial-of-Service-Attacke starten). Daher wird oft empfohlen, pro Gerätekategorie ein VLAN zu implementieren, was zur Mikrosegmentierung und damit erheblich grösseren Routing-Infrastrukturen führt. Auch wird das Problem der direkten Gerät-zu-Gerät-
Kommunikation nicht unter-
bunden, und auch die Mobilität der Endsysteme wird ausser acht gelassen. Für die Änderung von Konfigurationen bedarf es so eines grossen zeitlichen und operativen Aufwands.
Wie erwähnt, lässt der traditionelle Ansatz mit ACL kaum Mobilität zu. So sind zwar statische VLANs insofern sicher, als ein potentieller Angreifer hier physischen Zugang zum Netz haben muss, da die VLAN-Zuordnung fest am Switchport und damit an feste Netzwerkdosen gebunden ist. ACL-Regeln können so zwar einen Angriff von aussen verhindern und davor schützen, dass sich Bedrohungen von einem virtuellen Netzwerk auf ein anderes übertragen, ein Schutz innerhalb eines VLANs ist hierdurch jedoch nicht gegeben. Innerhalb des VLANs können die Devices immer noch miteinander kommunizieren und sich dadurch beispielsweise Viren, Würmer und sonstige Malware verbreiten.
Der traditionellen VLAN-Technologie mangelt es insgesamt an der Flexibilität, auf gegenwärtige Bedrohungen rasch zu reagieren, da der administratorische Aufwand für eine End-to-End-Sicherheit sehr hoch ist: Konfigurationsänderungen der ACL sind ein ausgesprochen zeitaufwendiger Prozess, der Gerät für Gerät durchgeführt werden muss, während ein Angriff binnen Sekunden durch das gesamte Netzwerk laufen kann.
Eine Policy-basierte Infrastruktur bietet hingegen eine deutlich höhere Flexibilität, um Echtzeit-Schutzmassnahmen zu gewährleisten. Wurmausbreitungen und Denial-of-Service-Angriffe (DoS) können hier im Keim erstickt werden. Mit einem zentralen Policy-Management können die Richtlinien innert kürzester Zeit gleichzeitig auf alle entsprechenden Netzwerk-Komponenten verteilt werden und auch automatisch nach Benutzer- oder Geräte-Authentifizierung zugewiesen werden. Eine Policy beeinhaltet neben dynamisch pro Benutzer zugewiesenen Zugriffsregeln auch Regeln zur Verkehrsstromkontrolle und Bandbreitenlimitierung für einzelne Applikationen und Anwender (Quality of Service).
Eine Schlüsselrolle nimmt hierbei die Authentisierung ein: Während bei einem klassischen VLAN-Konzept die Zuweisung über physikalische Ports oder maximal MAC-Adressen erfolgte, können moderne Switches alle Verfahren (wie 802.1x, MAC-Adresse, Web-Portal, De-fault) gleichzeitig an einem Port unterstützen. Denn bei der Authentisierung verschiedener Benutzer bzw. Geräte an einem Port ist natürlich davon auszugehen, dass an diesem dann auch unterschiedliche Gruppenregeln je nach Benutzer oder Gerät spezifisch und gleichzeitig vorhanden sein müssen und auch verschiedenste Methoden für die einzelnen Geräte- und Benutzerkategorien genutzt werden. So soll beispielsweise der PC andere Regeln bekommen als das IP-Phone am gleichen Port oder ein Gast andere Regeln haben als ein Mitarbeiter.
Diese Fähigkeit, mehrere «User» (das können sowohl menschliche Benutzer als auch Geräte sein) gleichzeitig an einem Port zu authentisieren und ihnen verschiedene Policies zuzuweisen, nennt man Multi User Authentication and Policy (MUA+P).
Eine Policy-Vergabe muss pro Benutzer/Gerät erfolgen, denn ansonsten wäre ja die Authentisierung fast wertlos. So können pro Port verschiedene User mit beliebigen Authentisierungsverfahren zu völlig unterschiedlichen Policies dynamisch zugeordnet werden. Das Augenmerk sollte dabei auf die Art der Richtlinien gerichtet sein: Oftmals werden nur einfache VLAN-Policies unterstützt, innerhalb eines VLANs gibt es aber – wie gezeigt – gar keine Kontrolle. Wie kann man dann den Bedrohungen innerhalb des virtuellen Netzes begegnen – beispielsweise wenn sich ein unautorisierter DHCP-Server mit den passenden Credentials anschliesst oder wenn sich ein Wurm ausbreitet?
Die Antwort liegt in den Port-Policies, die auch zwischen Ports im gleichen VLAN greifen und Daten von Layer 2 (VLAN/MAC-Adresse) bis Layer 4 (Applikation, HTTP, E-Mail, VoIP) einbeziehen. Dabei macht eine einfache Zusammenfassung und Strukturierung mittels Policy-Manager die Erstellung von Netzwerkservices für die einzelnen Rollen übersichtlich und effizient – vor allem aber sicher.