Netzwerk-Zugriff nur für Befugte

Netzwerk-Zugriff nur für Befugte

Artikel erschienen in IT Magazine 2008/18

Eine klare Identifizierung

Das Authentifizierungsverfahren IEEE 802.1X sollte überall dort zum Einsatz kommen, wo nicht sichergestellt werden kann, dass keine fremden Rechner unkontrolliert in das eigene Netzwerk eingebunden werden. Durch die zusätzliche Authentifizierung können die Nutzer damit klar identifiziert werden.


So lässt sich eine benutzerabhängige Zuteilung zu verschiedenen Netzwerksegmenten mit einfachen Mitteln realisieren. Ein in einem Sitzungsraum installierter Switch kann beispielsweise für den jeweiligen Port entscheiden, ob ein Notebook eines internen Mitarbeiters ans Firmennetzwerk angeschlossen wird oder das eines Gastes in einer in sich geschlossenen Zone mit Internetzugang zugeteilt wird. Ein Authentication-Failed-VLAN ermög­licht zudem, eine Zuweisung zu einer bestimmten Zone vorzunehmen, wenn die 802.1X-Anmeldung fehlschlägt. So sind keine Konfigurationsanpassungen auf Gastrechnern nötig, wenn lediglich ein Internetzugang gewährt werden soll


Wenn zusätzlich Zertifikate eingesetzt werden, kann die Sicherheit im Vergleich zu einer normalen Anmeldung mit Benutzername und Passwort weiter erhöht werden. Das Zertifikat kann beispielsweise vom RADIUS-Server (Remote-Authentification-Dial-in-User) generiert und auf die Clients übertragen werden.


Der IEEE 802.1X-Netzwerkaufbau

Den Anforderungen an ein Netzwerk mit 802.1X-Unterstützung kann heute in einer einfachen Konstellation bereits mit wenig Aufwand Genüge getan werden. Im wesentlichen werden ein RADIUS-Server zur Authentifizierung, ein 802.1X-kompatibler Switch oder ­Access Point und ein entsprechend konfigurierbarer Netzwerk-Client benötigt. Viele professionelle Access Points bieten heute eine 802.1X-Authentifizierung, oft sogar mit einem integrierten RADIUS-Server für die Benutzerverwaltung.


Als RADIUS-Server bietet sich der entsprechende Dienst eines Windows-Servers an. Aktuelle Versionen von Mac OS X und Linux bieten ebenfalls die erforderliche Unterstützung. Möchte man sich nicht mit Bordmitteln zufriedengeben, so kann man auch eines der zahlreichen eigenständigen Produkte und Open-Source-Lösungen nutzen. Verschiedene Hersteller bieten unabhängige RADIUS-Appliances an, welche sich nahtlos zwischen anderen Komponenten in einen Server-Rack einfügen. Auch professionelle Access Points mit einem integrierten RADIUS-Server lassen sich für die Authentifizierung auf dem Kupfernetz einspannen


Die Erweiterung des Netzwerks um weitere Ports lässt sich schnell realisieren. Auf jedem weiteren Switch muss lediglich analog den bestehenden Switches der RADIUS-Server als Authentifizierungsinstanz angegeben und die Port-Authentifizierung auf allen zugänglichen Anschlüssen aktiviert werden.




Beispiel eines IEEE 802.1X Netzwerks


Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER