Suchen

Netzwerk-Grundlagen – Network Access Control, Teil 2

Integration von Enterasys NAC in die Sicherheitsstrategie

Seite: 2/4

Firmen zum Thema

Kerberos- und RADIUS-Snooping

Kerberos Snooping (Archiv: Vogel Business Media)

Die Kerberos-Pakete werden beim Snooping vom NAC-Controller mitgelesen, wobei Passwörter natürlich verschlüsselt übertragen werden. Benutzername, Domänenzugehörigkeit und ob die Anmeldung erfolgreich war, lässt sich aber herauslesen.

Im Falle einer erfolgreichen Anmeldung ist dann klar, dass es sich um ein Endsystem handelt, das zum Unternehmen gehört (wegen der erfolgreichen Domänenanmeldung) sowie der Benutzername, welcher die Authentisierung durchgeführt hat. Diese Informationen können dann direkt zur Autorisierung, das heißt der Rechtevergabe für den jeweiligen Benutzer dienen. Damit lassen sich die Vorteile einer 802.1x-Lösung ohne deren Implementierungsaufwand nutzen.

Ein netter Nebeneffekt beim Kerberos Snooping: auch ohne die Verwendung des Benutzernamens zur Autorisierung erfährt der Netzwerk-Administrator, welche Benutzer die Endsysteme verwenden. Wird auf den Access Switchen schon 802.1x eingesetzt, um die Endsysteme zu authentisieren, so können mit RADIUS Snooping die Autorisierungs- bzw. Secure-Networks-Policyfeatures eines Enterasys-Switch im Distribution Layer genutzt werden.

RADIUS Snooping (Archiv: Vogel Business Media)

Dabei liest der Enterasys-Switch die RADIUS-Pakete mit und wendet das für den Access Switch zurückgegebene Regelwerk auf die MAC-Adresse des in der RADIUS Session angegebenen Endsystems an. Zur Benachrichtigung im Fehlerfall bzw. zur Kommunikation mit dem Benutzer bei der Anmeldung dient in der Enterasys NAC-Lösung die Remediation.

Dahinter verbirgt sich ein Captive Portal, wie man es aus WLAN HotSpots kennt. Darüber kann man dem Benutzer im Falle eines Netzwerk-Ausschlusses Informationen über die Gründe übermitteln bzw. über den Zugang zu einem Patch Server die Möglichkeit zur Selbstheilung anbieten.

MAC Registration - Zugangskontrolle für Fremdsysteme (Archiv: Vogel Business Media)

Dies kann natürlich auch genutzt werden, um das Problem mit neuen Endsystemen oder Gästen zu lösen. Hierbei werden die Web-Anfragen eines neuen Netzwerk-Endgeräts zu einer Webseite umgeleitet, auf der das System registriert werden muss. Dazu greift man auf ein vorhandenes LDAP (z.B. Active Directory) zurück und trägt die Daten des Benutzers des neuen Systems ein.

Ein Mitarbeiter bestätigt mit seinem Domänenzugang die Gültigkeit dieser Daten. Somit ist für jedes Gerät am Netzwerk ein zuständiger Mitarbeiter eindeutig benennbar und der Zugriff zum Netzwerk transparent. Selbstverständlich lässt sich hier die maximale Anzahl von Geräten pro Benutzer konfigurieren, überhaupt ist diese Lösung nahezu beliebig an Kundenwünsche anpassbar.

Inhalt

  • Seite 1: NAC für Fortgeschrittene
  • Seite 2: Kerberos- und RADIUS-Snooping
  • Seite 3: Assessment
  • Seite 4: Web Services

(ID:2048890)