Zugangskontrolle mithilfe des UAC-Ansatzes von Juniper – Teil 2 Die praktische Umsetzung von Trusted Network Connect

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Als Quarantänesystem schützt Unified Access Control von Juniper das Unternehmensnetzwerk, und stellt somit eine Alternative zu Microsoft- und Ciscos-Implementierungen dar. In Verbindung mit passender Hardware von Juniper und D-Link stellen wir den TNC-basierten Sicherheitsansatz in der Praxis vor.

Firmen zum Thema

Unified Access Control von Juniper authentifiziert Clients mithilfe von Netzwerk-Komponenten. (Quelle: Juniper)
Unified Access Control von Juniper authentifiziert Clients mithilfe von Netzwerk-Komponenten. (Quelle: Juniper)
( Archiv: Vogel Business Media )

Zur Authentifizierung wird bei Juniper Unified Access Control (UAC) der Standard 802.1X herangezogen. Dabei wird nach den folgenden Modulen unterschieden: Dem Supplikant, dieser wird durch den Client gebildet, einem D-Link-Switch als „Pass-Through Authenticator“ und der Juniper IC4000 als „Authentication Server“.

Die Verwaltung des D-Link-Switches, der die Rolle des Pass-Through Authenticator übernimmt, kann entweder über das Konsoleninterface, einen seriellen Port oder aber mittels einer Web-GUI vorgenommen werden. Das Web-GUI bietet das angenehmere Interface. Dazu wird einzig ein Browser benötigt.

Bildergalerie

Beim Switch ist lediglich die Konfiguration für 802.1X einzustellen. Hier sind im Wesentlichen die folgenden Angaben erforderlich: IP-Adressen des Switches, des Radius-Servers, das Radius-Passwort und welche Ports nach den Konzepten von 802.1X operieren sollen. Darüber hinaus weist der Switch viele weitere Funktionen und Möglichkeiten auf, die im Rahmen des Testszenarios allerdings nicht verwendet wurden.

Die Konfiguration des Authentication Server

Die Konfiguration des Authentication Server, also des Juniper Infranet Controller 4000 (IC4000), ist schon etwas komplexer. Der IC4000 realisiert im Testszenario aber auch weitaus mehr Funktionen.

Zu den Grundangaben der Konfigurationen gehören dabei die folgenden Parameter: Die Anpassung der IP-Adressen sowie DNS-Dienste und Gateways, damit der Authentication Server seine Verbindung zu den umgebenden Systemen erhält. Ferner benötigt der Infranet Controller in jedem Fall die Verbindung zum Active Directory Server, um die Credentials des Supplikants prüfen zu können.

Seite 2: Der Hostchecker prüft den Client

Der Hostchecker prüft den Client

Um den Sicherheitsstatus des Endgerätes (Supplikants) zu prüfen, stellt Juniper ein Modul bereit, das als Hostchecker bezeichnet wird. Der Hostchecker ist in den UAC-Agenten des 802.1x Supplikant integriert und in der Lage, unterschiedlichste Kriterien des Clients zu prüfen. Dies können beispielsweise ein offener Port, ein laufender Prozess, ein Registry Schlüssel, die MAC-Adresse oder viele weitere Kriterien sein.

Am einfachsten ist die Verwendung der „Predefined HostChecks“, denn sie werden bereits durch Juniper bereitgestellt. Die Predefined HostChecks stellen eine einfache Methode dar, um zum Beispiel einen, auf dem Client befindlichen, Virenscanner auf seine Funktion und seine Aktualität hin zu überprüfen.

In Abhängigkeit von der Prüfung durch den Hostchecker wird der Supplikant durch den Switch-Port dem gewünschten VLAN zugeordnet. Die Prüfung durch den Hostchecker erfolgt noch vor der Zuweisung einer IP-Adresse an den Supplikant. Als Authentifizierungsprotokolle für die Anbindung an ein Active Directory stehen Kerberos, NTLM v1 und NTLM v2 zur Verfügung.

Periodische Prüfungen überwachen laufend Änderungen

Darüber hinaus prüft der Hostchecker den Client periodisch. Ergeben sich dabei Abweichungen von der Zieleinstellung, so wirken sich diese auf die VLAN-Zuordnung und folglich die Eingruppierung des Clients aus.

Deaktiviert beispielsweise der Benutzer des Clients seinen Virenscanner, so kann dies durch den Hostchecker überwacht und ausgewertet werden. Durch einstellbare Meldungen wird dabei der Benutzer über die anstehenden Änderungen informiert.

Die Grundlage für die oben beschriebene Funktion des IC4000 sind die HostCheck Policies. Diese beschreiben, welche Bedingungen der zugangswillige Client erfüllen muss. Da die Überprüfung des Clients wie bereits beschrieben vor der Vergabe einer IP-Adresse geschehen kann, nutzt der Supplikant auf der Clientseite des Switches ein Layer-2 EAP-Protokoll (EAP over LAN) und auf der IC-Seite des Switches das Layer-3-Protokoll EAP over RADIUS.

Zur Überwachung und Kontrolle der Verbindungen stellt Juniper ein Dashboard bereit. Dieses liefert in Echtzeit hilfreiche Informationen zum aktuellen Status, wie beispielweise zu den momentan angemeldeten Benutzern, dem Durchsatz des Gerätes oder der CPU- und Speichernutzung.

Alle Aktionen werden in mehreren Log-Dateien protokolliert und stehen damit auch für spätere Auswertungen bereit. Aus Sicherheitsgründen kann die gesamte Konfiguration des Infranet Controllers manuell exportiert oder durch FTP auf ein entsprechendes Backend importiert werden.

Seite 3: Die Einrichtung des Clientagenten

Die Einrichtung des Clientagenten

Die Prüfung der Clients auf die vorgegeben Sicherheitseinstellungen übernehmen die UAC-Agenten auf den Clients. Diese müssen daher zuerst auf die entsprechenden Geräte ausgerollt werden. Dies kann durch traditionelle Software-Verteilprogramme erfolgen. Alternativ lassen sich vorkonfigurierte UAC-Agent beim Verbindungsaufbau direkt ausrollen.

Hierzu stellt Juniper die dazu notwendige Infrastruktur im Infranet Controller bereit. Derzeit existieren diese Agenten aber nur für die Windows-Betriebssysteme. MAC und Linux-Agenten sollen aber in Zukunft unterstützt werden. Zur Kontrolle und Konfiguration des UAC Agenten stellt Juniper eine Konsole bereit.

VLAN-Zuordnung nach Client-Sicherheitsanalyse

In unserem Testszenario konnten wir erfolgreich nachstellen wie sich der Client – nach der erfolgreichen Überprüfung durch den Hostchecker – mithilfe des Pass-Through Authenticator (D-Link-Switch) und des Authentication Server (IC4000) erfolgreich anmeldete und dann in das zugeordnete VLAN eingruppiert wurde.

Misslingt die Anmeldung oder erfüllt der Client die Policy-Vorgabe nicht, so erhielt der Client im Test ein alternatives VLAN-Segment zugewiesen. Dies kann beispielsweise dazu verwendet werden, den Client mit seinem Remediaton-Server zu verbinden. Die User Credentials für die Authentifizierung wurden aus dem Active Directory entnommen.

(ID:2019139)