Netzwerk-Zugriff nur für Befugte

Moderne Netzwerke stehen im Dilemma zwischen Offenheit und Sicherheit. Das Authentifizierungsverfahren gemäss dem Standard IEEE 802.1X löst dieses Problem.

Artikel erschienen in Swiss IT Magazine 2008/18

     

Das Firmennetzwerk stellt mehr und mehr die zentrale Drehscheibe einer Unternehmung dar. Jedes weitere Kommunikationsmittel, welches über das Netzwerk geführt wird, erhöht die Notwendigkeit eines stabilen, ausfallsicheren Betriebs. Wenn zudem die Produktion und Gebäudeautomation von einem funktionierenden Netzwerk abhängig sind, können bei einer Störung rasch hohe Ausfallkosten oder Terminrückstände entstehen.


Demgegenüber steht der Bedarf an flexiblen Zugangsmöglichkeiten. Die Präsentation eines Geschäftspartners lässt sich am einfachsten über einen Internetzugang realisieren, die Gäste aus der Länderniederlassung können darüber ihre E-Mails abrufen, und der ERP-Berater kann sich damit über sein eigenes Notebook mit dem ERP-Server verbinden.



Während sich die IT-Abteilung mit Hilfe leistungsfähiger Firewalls mit einem ausgeklügelten Unified-Threat-Management den ärgsten Unbill aus dem Internet vom Leibe respektive vom Netzwerk fernhält, stellt jede direkte Verbindung mit einem fremden Rechner innerhalb der gesicherten Zone ein potentielles Risiko dar.
Mit dem IEEE 802.1X-Standard steht ein probates Mittel zur Verfügung, um ungewollte oder missbräuchliche Verbindungen mit dem internen Netzwerk zu verhindern oder kontrolliert einzuschränken.


Voller Zugriff nur für bekannte Clients

IEEE 802.1X ist ein Standard für eine portbasierende Zugriffssteuerung, der kurz folgendermassen funktioniert (Details siehe Kasten): Ein Client muss sich zunächst authentifizieren, bevor er Zugang zum Netzwerk erhält. Der Switch sendet eine EAP-Identifizierungsaufforderung (Extensible Authentication Protocol, ein verbreitetes Protokoll) an den Client. Liefert der angefragte Client eine EAP-Antwort, wird diese an einen Authentifizierungsserver weitergeleitet. In Abhängigkeit davon, ob die Beglaubigungsinstanz die Anfrage bestätigt oder ablehnt, wird der Switch den Port freischalten oder sperren.



Der Client erhält also erst nach erfolgreicher Authentifizierung vollen Zugriff auf das Netzwerk. Erkennt ein entsprechend konfigurierter Switch einen unbekannten Client, wird der verwendete Anschluss in einen gesicherten Status versetzt. Solange sich der Client nicht authentifizieren kann, werden in diesem Modus ausschliesslich 802.1X-Daten übertragen. Andere Protokolle wie DHCP oder HTTP werden blockiert. Meldet sich der Client ab, versendet er eine EAP-Logoff-Nachricht, worauf der Switch wieder jeglichen Datenverkehr mit Ausnahme des 802.1X-Protokolls blockiert. In Abhängigkeit von der Authentifizierung kann der verwendete Port einem bestimmten VLAN (Virtual Local Area Network) zugewiesen werden.


Eine klare Identifizierung

Das Authentifizierungsverfahren IEEE 802.1X sollte überall dort zum Einsatz kommen, wo nicht sichergestellt werden kann, dass keine fremden Rechner unkontrolliert in das eigene Netzwerk eingebunden werden. Durch die zusätzliche Authentifizierung können die Nutzer damit klar identifiziert werden.


So lässt sich eine benutzerabhängige Zuteilung zu verschiedenen Netzwerksegmenten mit einfachen Mitteln realisieren. Ein in einem Sitzungsraum installierter Switch kann beispielsweise für den jeweiligen Port entscheiden, ob ein Notebook eines internen Mitarbeiters ans Firmennetzwerk angeschlossen wird oder das eines Gastes in einer in sich geschlossenen Zone mit Internetzugang zugeteilt wird. Ein Authentication-Failed-VLAN ermög­licht zudem, eine Zuweisung zu einer bestimmten Zone vorzunehmen, wenn die 802.1X-Anmeldung fehlschlägt. So sind keine Konfigurationsanpassungen auf Gastrechnern nötig, wenn lediglich ein Internetzugang gewährt werden soll.



Wenn zusätzlich Zertifikate eingesetzt werden, kann die Sicherheit im Vergleich zu einer normalen Anmeldung mit Benutzername und Passwort weiter erhöht werden. Das Zertifikat kann beispielsweise vom RADIUS-Server (Remote-Authentification-Dial-in-User) generiert und auf die Clients übertragen werden.


Der IEEE 802.1X-Netzwerkaufbau

Den Anforderungen an ein Netzwerk mit 802.1X-Unterstützung kann heute in einer einfachen Konstellation bereits mit wenig Aufwand Genüge getan werden. Im wesentlichen werden ein RADIUS-Server zur Authentifizierung, ein 802.1X-kompatibler Switch oder ­Access Point und ein entsprechend konfigurierbarer Netzwerk-Client benötigt. Viele professionelle Access Points bieten heute eine 802.1X-Authentifizierung, oft sogar mit einem integrierten RADIUS-Server für die Benutzerverwaltung.


Als RADIUS-Server bietet sich der entsprechende Dienst eines Windows-Servers an. Aktuelle Versionen von Mac OS X und Linux bieten ebenfalls die erforderliche Unterstützung. Möchte man sich nicht mit Bordmitteln zufriedengeben, so kann man auch eines der zahlreichen eigenständigen Produkte und Open-Source-Lösungen nutzen. Verschiedene Hersteller bieten unabhängige RADIUS-Appliances an, welche sich nahtlos zwischen anderen Komponenten in einen Server-Rack einfügen. Auch professionelle Access Points mit einem integrierten RADIUS-Server lassen sich für die Authentifizierung auf dem Kupfernetz einspannen.



Die Erweiterung des Netzwerks um weitere Ports lässt sich schnell realisieren. Auf jedem weiteren Switch muss lediglich analog den bestehenden Switches der RADIUS-Server als Authentifizierungsinstanz angegeben und die Port-Authentifizierung auf allen zugänglichen Anschlüssen aktiviert werden.




Beispiel eines IEEE 802.1X Netzwerks


Entsteht ein Single Point of Failure?

Neben all den beschriebenen Vorteilen des Authentifizierungsverfahren IEEE 802.1X kann dessen Einsatz auch einige Probleme mit sich bringen. Wird zum Beispiel das gesamte Netzwerk über 802.1X gesichert, stellt der RADIUS-Server einen Single Point of Failure dar, auf den besonderes Augenmerk gerichtet werden sollte. Dem Authenticator, in der Regel der Switch, welcher als Vermittler zwischen Client und Authentication-Server fungiert, können mehrere RADIUS-Server zugewiesen werden. Wenn ein Server nicht verfügbar ist, wird automatisch auf den nächsten zugegriffen.



Ein weiteres Problem: Wird eine Verbindung mit Hilfe von Zertifikaten abgesichert, so kann sich eine typische Huhn-oder-Ei-Situation ergeben. Das Zertifikat wird unter Windows im lokalen Benutzerprofil gespeichert. Es steht jedoch zumindest bei der ersten Anmeldung auf einem neuen Rechner noch nicht zur Verfügung.
Weiter ist es nicht immer möglich, eine 802.1X-Policy hundertprozentig umzusetzen. Ein Grund dafür ist, dass nicht alle Clients die notwendige Unterstützung bieten. Besonderes Augenmerk gilt hier Druckerservern, netzwerkfähigen Scannern, älteren Rechnern oder mobilen Gadgets.


Etabliert in Wireless-Netzwerken

Für wen ist IEEE 802.1X etwas? Grundsätzlich lohnt sich der Einsatz von 802.1X, der in der Regel mit einem geringen Aufwand verbunden ist, in jeder Umgebung, in der mit regelmässigen Benutzerwechseln zu rechnen ist. Im Umfeld von verkabelten Netzwerken ist die Implementierung vor allem dort sinnvoll, wo der physikalische Zugang zu Netzwerkanschlüssen wenig oder kaum kontrolliert werden kann: in Sitzungsräumen, Demoräumen, Empfangsbereichen oder generell in allen offen zugänglichen Umgebungen.



Interessanterweise hat sich 802.1X vor allem im Bereich von Drahtlosnetzwerken etabliert. Hier bietet es den grossen Vorteil, dass bei einem Benutzerwechsel der für alle gemeinsam geltende Schlüssel der WPA-Verschlüsselung nicht angepasst werden muss. Dies würde die Konfigurationsanpassung aller beteiligten Clients nach sich ziehen. Dank einer benutzerabhängigen Anmeldung über den RADIUS-Server ist es ausreichend, das betroffene Benutzerkonto zu deaktivieren. Dieses Einsatz-szenario findet insbesondere im Umfeld von Universitäten und Hochschulen Anwendung.


Weniger komfortable Alternativen

Es muss aber nicht unbedingt IEEE 802.1X sein, wenn meine Clients das nicht unterstützen. Es gibt auch andere Authentifizierungsverfahren, die zum selben Ergebnis führen, allerdings nicht ganz so komfortabel. Zu den ersten Absicherungen von Switch-Ports gehört der Port-Lock.


Dabei lernt der Switch die erste MAC-Adresse an einem Port und behält diese bei. Selbst eine fixe Zuweisung einer MAC-Adresse an einen bestimmten Port ist möglich. Stellt der Switch fest, dass versucht wurde, mit einer fremden MAC-Adresse über diesen Port zu kommunizieren, wird der Anschluss deaktiviert. Die Aufhebung des Port-Lock kann übrigens nur der Administrator vornehmen.



Eine weitere Lösung stellt das DHCP-Snooping dar. Dabei gibt der Switch einen Port nur dann frei, wenn der Client über das DHCP-Protokoll eine IP-Adresse bezogen hat. Über eine Relation zwischen MAC- und IP-Adresse kann der DHCP-Server bestimmen, ob dem anfragenden Client eine IP-Adresse zugewiesen wird. Zusammen mit ARP-Inspection kann sichergestellt werden, dass keine fremden DHCP-Server in das Netzwerk eingebracht werden. Die Verwaltung ist sehr Hardware-orientiert und unflexibel. Die Anbindung an eine User-Verwaltung ist hierbei nicht vorgesehen.


Fazit

Der Authentifizierungsstandard 802.1X bietet eine bewährte und in der Regel einfach umzusetzende Technologie zur Absicherung von Netzwerkanschlüssen. Die dazu benötigten Komponenten schlummern in vielen bestehenden Netzwerken ungenutzt vor sich hin. Ein kurzer Blick auf die Benutzeroberfläche eines gemanagten Switches zeigt schnell, ob die entsprechenden Optionen bereits verfügbar sind. Die Server- und Client-seitigen Hürden sind rasch genommen, und mit wenig Aufwand kann die Sicherheit wesentlich erhöht werden, ohne an Flexibilität einbüssen zu müssen.


IEEE 802.1X

Der Standard IEEE 802.1X ist ein Port-basierendes Sicherheitskonzept zur Authentifizierung und Autorisierung in IEEE-802-Rechnernetzen. Benutzer haben erst Zugriff auf das Netzwerk, nachdem sie sich am Netzwerkzugang gegenüber einem Switch authentifiziert haben. Mittels eines genormten Authentifizierungsverfahrens wird der Zugang zum Datennetz genau reglementiert.


Die Port-Based-Network-Access-Control von 802.1X definiert die Client-Server-basierte Zugangskontrolle und Authentifizierung. Sie verhindert, dass sich nicht autorisierte Clients über öffentlich zugängliche Ports mit einem Netzwerk verbinden.



Die Authentifizierung der Nodes gegenüber einem Switch erfolgt über einen sogenannten Supplicant, ein Softwareelement im Betriebssystem des Endgeräts. Zudem kontrolliert ein Authenticator, eine Komponente des Switch, an welche die Endgeräte angeschlossen sind, den Zugriff auf die Infrastruktur und lässt diesen zu oder weist ihn ab.


Die dritte Komponente von 802.1X, ein Authentication-Server, ist für den Zugang verantwortlich. Er kontrolliert die Kommunikation des Endgeräts und kommuniziert mit dem Authenticator am Switch. Der Supplicant kommuniziert mit dem Authenticator über das Layer-2-Protokoll EAP. Der Authenticator setzt die Kommunikation über RADIUS (Remote-Authentification-Dial-in-User) mit dem Authentication-Server fort. Die Kommunikation zwischen dem Authentication-Server und dem Supplicant erfolgt indirekt über den Authenticator.


Der Autor

Stefan Rüeger ist Support Manager bei der Studerus AG und Spezialist im Bereich Netzwerk-Technologien.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER