Zugangskontrolle mithilfe des UAC-Ansatzes von Juniper – Teil 2

Die praktische Umsetzung von Trusted Network Connect

Seite: 2/3

Firmen zum Thema

Der Hostchecker prüft den Client

Um den Sicherheitsstatus des Endgerätes (Supplikants) zu prüfen, stellt Juniper ein Modul bereit, das als Hostchecker bezeichnet wird. Der Hostchecker ist in den UAC-Agenten des 802.1x Supplikant integriert und in der Lage, unterschiedlichste Kriterien des Clients zu prüfen. Dies können beispielsweise ein offener Port, ein laufender Prozess, ein Registry Schlüssel, die MAC-Adresse oder viele weitere Kriterien sein.

Am einfachsten ist die Verwendung der „Predefined HostChecks“, denn sie werden bereits durch Juniper bereitgestellt. Die Predefined HostChecks stellen eine einfache Methode dar, um zum Beispiel einen, auf dem Client befindlichen, Virenscanner auf seine Funktion und seine Aktualität hin zu überprüfen.

Bildergalerie

In Abhängigkeit von der Prüfung durch den Hostchecker wird der Supplikant durch den Switch-Port dem gewünschten VLAN zugeordnet. Die Prüfung durch den Hostchecker erfolgt noch vor der Zuweisung einer IP-Adresse an den Supplikant. Als Authentifizierungsprotokolle für die Anbindung an ein Active Directory stehen Kerberos, NTLM v1 und NTLM v2 zur Verfügung.

Periodische Prüfungen überwachen laufend Änderungen

Darüber hinaus prüft der Hostchecker den Client periodisch. Ergeben sich dabei Abweichungen von der Zieleinstellung, so wirken sich diese auf die VLAN-Zuordnung und folglich die Eingruppierung des Clients aus.

Deaktiviert beispielsweise der Benutzer des Clients seinen Virenscanner, so kann dies durch den Hostchecker überwacht und ausgewertet werden. Durch einstellbare Meldungen wird dabei der Benutzer über die anstehenden Änderungen informiert.

Die Grundlage für die oben beschriebene Funktion des IC4000 sind die HostCheck Policies. Diese beschreiben, welche Bedingungen der zugangswillige Client erfüllen muss. Da die Überprüfung des Clients wie bereits beschrieben vor der Vergabe einer IP-Adresse geschehen kann, nutzt der Supplikant auf der Clientseite des Switches ein Layer-2 EAP-Protokoll (EAP over LAN) und auf der IC-Seite des Switches das Layer-3-Protokoll EAP over RADIUS.

Zur Überwachung und Kontrolle der Verbindungen stellt Juniper ein Dashboard bereit. Dieses liefert in Echtzeit hilfreiche Informationen zum aktuellen Status, wie beispielweise zu den momentan angemeldeten Benutzern, dem Durchsatz des Gerätes oder der CPU- und Speichernutzung.

Alle Aktionen werden in mehreren Log-Dateien protokolliert und stehen damit auch für spätere Auswertungen bereit. Aus Sicherheitsgründen kann die gesamte Konfiguration des Infranet Controllers manuell exportiert oder durch FTP auf ein entsprechendes Backend importiert werden.

Seite 3: Die Einrichtung des Clientagenten

(ID:2019139)