Netzwerk-Zugriff nur für Befugte

Netzwerk-Zugriff nur für Befugte

10. Oktober 2008 - Moderne Netzwerke stehen im Dilemma zwischen Offenheit und Sicherheit. Das Authentifizierungsverfahren gemäss dem Standard IEEE 802.1X löst dieses Problem.
Artikel erschienen in IT Magazine 2008/18

Das Firmennetzwerk stellt mehr und mehr die zentrale Drehscheibe einer Unternehmung dar. Jedes weitere Kommunikationsmittel, welches über das Netzwerk geführt wird, erhöht die Notwendigkeit eines stabilen, ausfallsicheren Betriebs. Wenn zudem die Produktion und Gebäudeautomation von einem funktionierenden Netzwerk abhängig sind, können bei einer Störung rasch hohe Ausfallkosten oder Terminrückstände entstehen.


Demgegenüber steht der Bedarf an flexiblen Zugangsmöglichkeiten. Die Präsentation eines Geschäftspartners lässt sich am einfachsten über einen Internetzugang realisieren, die Gäste aus der Länderniederlassung können darüber ihre E-Mails abrufen, und der ERP-Berater kann sich damit über sein eigenes Notebook mit dem ERP-Server verbinden


Während sich die IT-Abteilung mit Hilfe leistungsfähiger Firewalls mit einem ausgeklügelten Unified-Threat-Management den ärgsten Unbill aus dem Internet vom Leibe respektive vom Netzwerk fernhält, stellt jede direkte Verbindung mit einem fremden Rechner innerhalb der gesicherten Zone ein potentielles Risiko dar.
Mit dem IEEE 802.1X-Standard steht ein probates Mittel zur Verfügung, um ungewollte oder missbräuchliche Verbindungen mit dem internen Netzwerk zu verhindern oder kontrolliert einzuschränken.


Voller Zugriff nur für bekannte Clients

IEEE 802.1X ist ein Standard für eine portbasierende Zugriffssteuerung, der kurz folgendermassen funktioniert (Details siehe Kasten): Ein Client muss sich zunächst authentifizieren, bevor er Zugang zum Netzwerk erhält. Der Switch sendet eine EAP-Identifizierungsaufforderung (Extensible Authentication Protocol, ein verbreitetes Protokoll) an den Client. Liefert der angefragte Client eine EAP-Antwort, wird diese an einen Authentifizierungsserver weitergeleitet. In Abhängigkeit davon, ob die Beglaubigungsinstanz die Anfrage bestätigt oder ablehnt, wird der Switch den Port freischalten oder sperren.


Der Client erhält also erst nach erfolgreicher Authentifizierung vollen Zugriff auf das Netzwerk. Erkennt ein entsprechend konfigurierter Switch einen unbekannten Client, wird der verwendete Anschluss in einen gesicherten Status versetzt. Solange sich der Client nicht authentifizieren kann, werden in diesem Modus ausschliesslich 802.1X-Daten übertragen. Andere Protokolle wie DHCP oder HTTP werden blockiert. Meldet sich der Client ab, versendet er eine EAP-Logoff-Nachricht, worauf der Switch wieder jeglichen Datenverkehr mit Ausnahme des 802.1X-Protokolls blockiert. In Abhängigkeit von der Authentifizierung kann der verwendete Port einem bestimmten VLAN (Virtual Local Area Network) zugewiesen werden.

 
Seite 1 von 5

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER