Ausweiskontrolle im Unternehmensnetz

Automatische Identitäts- und Zugriffskontrolle im Netzwerk

| Autor / Redakteur: Andreas Gulle / Peter Schmitz

Bei Einsatz einer Lösung zur Identitäts- und Zugriffskontrolle steigt das Sicherheitsniveau im kompletten Netzwerk sofort sprunghaft an.
Bei Einsatz einer Lösung zur Identitäts- und Zugriffskontrolle steigt das Sicherheitsniveau im kompletten Netzwerk sofort sprunghaft an. (© monsitj - stock.adobe.com)

Wissen Sie, wer Ihr Gast-WLAN nutzt und wer sich hinter Ihrer Firewall tummelt? Und kann Ihre IT-Infrastruktur infizierte Clients automatisch in Quarantäne schicken? Nein? Dann ist es Zeit für ein System zur Identitäts- und Zugriffskontrolle. Entsprechende Lösungen sind ohne großen Aufwand zu administrieren und schnell am Start. Was können die Lösungen noch?

Dass Unternehmensnetze nicht mehr an der Firewall enden, hat sich herumgesprochen: Cloud-Dienste, angebundene Partnernetzwerke oder mobile Endgeräte machen die Mauer durchlässig. Daher ist es umso wichtiger, Kontrolle darüber zu haben, welche Endgeräte und Anwender im internen Netzwerk eigentlich Zugriff auf welche Ressourcen haben und wie lange. Hier kommen Lösungen für die Identitäts- und Zugriffskontrolle (Englisch: Identity and Access Management, IAM) ins Spiel. Sie punkten in jeglichem Netzwerk. Egal, ob großes oder kleines Unternehmen oder Behörden: IAM-Lösungen sind in jedem Fall sinnvoll. Denn zumindest ein Wireless LAN hat heute jede Organisation.

Durch die Kontrolle der Zugriffe aufs WLAN kommen Systeme zum Identitätsmanagement (IDM) zumeist ins Unternehmen. Später bauen die Anwender den Funktionsumfang der Lösungen aus, weil sie sich an verschiedenen Stellen bezahlt machen. Dazu später mehr. Im drahtlosen Netz erfüllen IAM-Produkte die Funktion des Türstehers: Die Kenntnis des WLAN-Kennworts alleine reicht nicht für den Zutritt. Nur wenn Nutzername und Passwort des Anwenders korrekt sind, gibt der Wächter den Zugriff auf das Wireless LAN – und damit das Unternehmensnetzwerk – frei. Die Anmeldeinformationen stammen dabei aus dem Active Directory oder von einem vorhandenen LDAP-Server. Administratoren müssen die Anmeldedaten also nicht doppelt pflegen.

RADIUS-Server im Synology NAS

Security-Pakete für Synology DSM

RADIUS-Server im Synology NAS

23.08.16 - Ein RADIUS-Server im LAN bietet auch kleinen Unternehmen eine ausgefeilte Nutzerkontrolle beim Zugriff auf das eigene WLAN. Ein Synology-NAS bietet die richtige Grundlage um eine Authentifizierung mittels RADIUS ressourceneffizient im LAN zu betreiben. lesen

Nicht jeder darf alles nach dem Login

Nach erfolgreicher Anmeldung übergibt das IDM-System den Client in die Hände des WLAN-Controllers oder des Netzwerkswitches. Und zwar mit den passenden Zugriffsrechten, so dass Mitarbeiter der Buchhaltung auch drahtlos nur auf die Ihnen zugewiesenen Serverfreigaben zugreifen können. Hierfür sorgen letztendlich der Controller beziehungsweise der Switch anhand der jeweiligen WLAN-SSID oder des VLANs.

Je nach Leistungsfähigkeit des IAM-Systems lassen sich zur Zutrittskontrolle beziehungsweise den nach dem Login gewährten Zugriffsrechten noch weitere Faktoren heranziehen: Kommt der Client per VPN von außen oder greift er über das lokale (W)LAN zu? Ist die Uhrzeit des Anmeldeversuchs außergewöhnlich? Erfolg der Zugriff aus dem Home Office, einer Filiale oder aus dem Hauptsitz des Unternehmens? All diese Angaben lassen sich in Regeln gießen, die dann den Zugriff bestimmen. So lässt sich zum Beispiel festlegen, dass Mitarbeiter, die außerhalb der Bürozeiten vom Heimarbeitsplatz aus auf das Netzwerk zugreifen, nur Zugang zu ihren E-Mails haben. Die Fileserver stehen nur bei Anmeldungen aus dem Büronetzwerk zur Verfügung.

Kontext ist König

Ebenso lassen sich die zum Login verwendeten Geräte erkennen: Vom Unternehmen ausgegebene und verwaltete Endgeräte erhalten vollen Zugriff auf Datenbanken, E-Mails oder File-Server, private Endgeräte der Mitarbeiter werden ins Gastnetz verwiesen und sind entsprechend den dafür geltenden Regeln eingeschränkt. IDM-Systeme lassen sich auch mit Firewalls koppeln. Meldet die Firewall beispielsweise auffälligen Netzwerkverkehr von einem Client, kann die Lösung für die Identitäts- und Zugriffskontrolle das Endgerät anhand des Kontexts in Quarantäne schieben. Bei WLANs kann der Kontext auch ortsbezogen sein. So können Mitarbeiter in Krankenhäusern beispielsweise nur von ihren Büros aus auf Patientendaten zugreifen. Nicht aber aus der Cafeteria oder dem Wartebereich.

Im Zusammenhang mit WLAN-Zugriffen empfehlen sich IAM-Lösungen, die eine eigene Nutzerverwaltung mitbringen. Denn nicht jeder Gast oder Partner, der nur für kurze Zeit Zugriff benötigt, muss auch im Active Directory angelegt werden. Ein WLAN-Controller, der Zugangsvoucher zur Anmeldung erzeugen kann, ist hier ebenfalls sehr nützlich.

Tipps zum Projektstart

Punkten können IDM-Systeme auch beim Strukturieren eines Netzwerks. Um zum Beispiel Mitarbeitern je nach Abteilung oder Stockwerk unterschiedliche Zugriffsrechte zu gewähren. Das lässt sich entweder auf die harte Tour mit sehr hohem Zeitaufwand durch die Vergabe fester IP-Adressen an jedem Endgerät regeln und das Einrichten von entsprechenden VLANs erreichen. Oder eben durch ein IDM-System. Eine sanfte Migration überwacht beispielsweise zu Beginn nur die Zugriffe der einzelnen Anwender. So stellen die Administratoren sicher, dass die Zugriffe entsprechend den festgelegten Regeln passieren. Erst wenn das feststeht, schaltet man die Authentifizierung der Anwender an. Vorteil gegenüber der IP-Adresslösung: Geprüft wird nicht nur die Hardware, sondern auch der Nutzer.

Typischerweise lassen sich Produkte zur Identitäts- und Zugriffskontrolle gut testen vor einem Produktivbetrieb: Hersteller bieten 90tägige-Testlizenzen und die Lösung selbst läuft in einer virtuellen Maschine auf VMware ESX, Microsoft Hyper-V oder KVM und kommt so ohne eigene Hardware aus. Idealerweise lassen sich Administratoren, die eine solche Lösung testen oder einführen wollen, dabei von einem Dienstleister unterstützen. Der Betrieb der fertig konfigurierten Lösung erfordert zwar nur minimale Pflege, die sich gut nebenher erledigen lässt. Neu im Active Directory angelegte Nutzer übernimmt das IDM-System beispielsweise automatisch. Einzelne Lösungen klinken sich dazu als Member Server ins Active Directory mit ein. Wichtig hierbei ist, dass die Nutzerkonten mit den passenden Zusatzinformationen wie Abteilung oder Stockwerk versehen wurden.

Die erstmalige Einführung verlangt aber nach mehr Zeit und Konzentration, als es das Tagesgeschäft erlauben dürfte. Denn bis die Reglements stehen und getestet sind, können einige Tage ins Land ziehen. Zumal verschiedene Spezialisten aus dem IT-Team – WLAN, Switche, Sicherheit – an einem Strang ziehen müssen zur Definition der Regeln und deren Implementation.

Einmal in Betrieb erleichtert eine solche Lösung den Administratoren den Alltag – und macht ihn nicht etwa komplizierter. Wer dennoch gar nichts mit der Pflege zu tun haben will, kann einen Managed Service-Anbieter mit ins Boot holen. Der kümmert sich dann beispielsweise auch um später aufkommende Wünsche wie der Installation eines Systems zum Erzeugen von Einmalpasswörtern (One Time Password, OTP). Die dienen zumeist zum Login per VPN und erhöhen den Zugriffschutz deutlich. Active Directory beherrscht jedoch keine solche Mehrfaktoranmeldung. Von daher wird die OTP-Software mit dem IDM gekoppelt und erhöht so den Zugriffsschutz.

Open Source oder kommerziell?

Andreas Gulle ist Senior Systems Engineer.
Andreas Gulle ist Senior Systems Engineer. (Bild: Netfox AG)

Lösungen für die Identitäts- und Zugriffskontrolle gibt es sowohl als Open-Source-Angebot, als auch von kommerziellen Anbietern wie Cisco oder Aruba (HP Enterprise). Grundsätzlich fällt auf, dass die kommerziellen Angebote einen größeren Funktionsumfang mitbringen. Zwar lassen sich diese Funktionen auch mit Open-Source-Software (OSS) abbilden. Dann müssen aber verschiedene Anwendungen kombiniert und getrennt voneinander verwaltet werden. Außerdem ist die Ersteinrichtung bei OSS zumeist etwas zeitaufwändiger, da es keine vorgefertigte Installation gibt. Das Anpassen an die eigenen Anforderungen erfordert dann Zeit. Gleichzeitig ist das aber auch ein Vorteil: Wer sich Anpassungen am Quelltext zutraut, kann sich die IDM-Lösung mit Open Source maßschneidern. Im kommerziellen Umfeld gibt es diese Chance nicht. Wenngleich die Anforderung einer solch detaillierten Anpassung sich in den meisten Unternehmen oder Behörden auch nicht ergeben dürfte.

Mehr Aufwand verlangen Open-Source-Angebote auch im Betrieb. Denn typischerweise müssen Sicherheits- oder Funktionsupdates von Hand installiert werden. Beziehungsweise müssen Administratoren sich selbst auf dem Laufenden halten, ob es ein Update gibt. Kommerzielle Lösungen haben in aller Regel automatische Updatemechanismen an Bord.

Letztendlich spielt es aber keine Rolle, ob sich eine kommerzielle oder eine quelloffene Lösung um die Identitäts- und Zugriffskontrolle kümmert: Das Sicherheitsniveau im kompletten Netzwerk steigt sofort in dem Moment, in dem die neue Schutzkomponente in Dienst tritt. Zumal dann, wenn sie mit einer Lösung zur Mehrfaktorauthentisierung kombiniert wird.

Über den Autor: Andreas Gulle ist Senior Systems Engineer im Systemhaus Netfox AG. Als zertifizierter Security-Spezialist kennt er sich mit Stärken und Schwächen von Identity Management Systemen bestens aus.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44815217 / Benutzer und Identitäten)