Suchen

Netzwerk-Grundlagen – Network Access Control, Teil 2 Integration von Enterasys NAC in die Sicherheitsstrategie

Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Mit Secure Networks hat Enterasys eine Architektur entwickelt, die den NAC-Prozess von In- und Out-of-Band-Systemen vollständig abbildet. Aber auch in Dritthersteller-Netzen ohne Secure-Networks-Unterstützung integriert sich Enterasys NAC dank Standards wie 802.1x-Authentisierung und VLAN-Zuweisung (RFC 3580). Dieser Beitrag beleuchtet die Integrationsmöglichkeiten in Detail.

Firmen zum Thema

( Archiv: Vogel Business Media )

Die Enterasys NAC-Lösung ermöglicht die Umsetzung der im vorigen Beitrag genannten NAC-Modelle Switch-basierend Out-of-Band sowie Inband mit einer einheitlichen Managementoberfläche. Dabei kommen die Komponenten Enterasys NAC Manager sowie für den Out-of-Band Betrieb das NAC Gateway, für den Inband Betrieb der NAC Controller zum Einsatz.

Die Inline-NAC-Lösung von Enterasys erlaubt neben der schon bestehenden Out-of-Band-Lösung die Umsetzung von NAC im Datenstrom an wichtigen Übergabepunkten im Netzwerk. Damit ist der NAC-Prozess für jedes Endsystem, welches ans Netzwerk angebunden wird, identisch – egal ob der Anschluss an das LAN, WLAN oder z.B. über einen VPN Konzentrator von außen erfolgt. Durch diese Architektur kann Enterasys alle möglichen hardwareorientierten NAC-Lösungen abbilden.

NAC für Fortgeschrittene

Die NAC-Lösung von Enterasys erlaubt nicht nur den klassischen NAC-Ansatz, sondern stellt viele weitere Möglichkeiten zur Umsetzung der Zugangskontrolle zur Verfügung. Damit ist gewährleistet, dass man auch problematischen Szenarien begegnen kann.

So werden im Distribution Layer am eigentlichen Access Port noch ältere oder einfachere Komponenten eingesetzt. Im Zusammenhang mit einer Inband- oder allgemein einer NAC-Lösung stellt sich die Frage, ob diese Geräte überhaupt 802.1x-fähig sind oder inwiefern eine vom Access Switch durchgeführte 802.1x-Authentisierung genutzt werden kann, wenn dieser nur die Zuordnung eines VLANs unterstützt.

Für den Fall, dass der Access Switch kein 802.1x unterstützt oder die Umsetzung von 802.1x im Unternehmen zu aufwändig wäre, bietet sich mit KerberosSnooping eine relativ einfach zu handhabende, aber auch sichere Lösung an. Dabei geht man davon aus, dass die Endsysteme sich per Kerberos im Unternehmen anmelden, was z.B. bei einer Microsoft Active-Directory-Umgebung der Fall ist, sobald der jeweilige Rechner ein Mitglied der Domäne ist.

Inhalt

  • Seite 1: NAC für Fortgeschrittene
  • Seite 2: Kerberos- und RADIUS-Snooping
  • Seite 3: Assessment
  • Seite 4: Web Services

Kerberos- und RADIUS-Snooping

Kerberos Snooping (Archiv: Vogel Business Media)

Die Kerberos-Pakete werden beim Snooping vom NAC-Controller mitgelesen, wobei Passwörter natürlich verschlüsselt übertragen werden. Benutzername, Domänenzugehörigkeit und ob die Anmeldung erfolgreich war, lässt sich aber herauslesen.

Im Falle einer erfolgreichen Anmeldung ist dann klar, dass es sich um ein Endsystem handelt, das zum Unternehmen gehört (wegen der erfolgreichen Domänenanmeldung) sowie der Benutzername, welcher die Authentisierung durchgeführt hat. Diese Informationen können dann direkt zur Autorisierung, das heißt der Rechtevergabe für den jeweiligen Benutzer dienen. Damit lassen sich die Vorteile einer 802.1x-Lösung ohne deren Implementierungsaufwand nutzen.

Ein netter Nebeneffekt beim Kerberos Snooping: auch ohne die Verwendung des Benutzernamens zur Autorisierung erfährt der Netzwerk-Administrator, welche Benutzer die Endsysteme verwenden. Wird auf den Access Switchen schon 802.1x eingesetzt, um die Endsysteme zu authentisieren, so können mit RADIUS Snooping die Autorisierungs- bzw. Secure-Networks-Policyfeatures eines Enterasys-Switch im Distribution Layer genutzt werden.

RADIUS Snooping (Archiv: Vogel Business Media)

Dabei liest der Enterasys-Switch die RADIUS-Pakete mit und wendet das für den Access Switch zurückgegebene Regelwerk auf die MAC-Adresse des in der RADIUS Session angegebenen Endsystems an. Zur Benachrichtigung im Fehlerfall bzw. zur Kommunikation mit dem Benutzer bei der Anmeldung dient in der Enterasys NAC-Lösung die Remediation.

Dahinter verbirgt sich ein Captive Portal, wie man es aus WLAN HotSpots kennt. Darüber kann man dem Benutzer im Falle eines Netzwerk-Ausschlusses Informationen über die Gründe übermitteln bzw. über den Zugang zu einem Patch Server die Möglichkeit zur Selbstheilung anbieten.

MAC Registration - Zugangskontrolle für Fremdsysteme (Archiv: Vogel Business Media)

Dies kann natürlich auch genutzt werden, um das Problem mit neuen Endsystemen oder Gästen zu lösen. Hierbei werden die Web-Anfragen eines neuen Netzwerk-Endgeräts zu einer Webseite umgeleitet, auf der das System registriert werden muss. Dazu greift man auf ein vorhandenes LDAP (z.B. Active Directory) zurück und trägt die Daten des Benutzers des neuen Systems ein.

Ein Mitarbeiter bestätigt mit seinem Domänenzugang die Gültigkeit dieser Daten. Somit ist für jedes Gerät am Netzwerk ein zuständiger Mitarbeiter eindeutig benennbar und der Zugriff zum Netzwerk transparent. Selbstverständlich lässt sich hier die maximale Anzahl von Geräten pro Benutzer konfigurieren, überhaupt ist diese Lösung nahezu beliebig an Kundenwünsche anpassbar.

Inhalt

  • Seite 1: NAC für Fortgeschrittene
  • Seite 2: Kerberos- und RADIUS-Snooping
  • Seite 3: Assessment
  • Seite 4: Web Services

Assessment

Health-Check-Möglichkeiten mit Enterasys NAC (Archiv: Vogel Business Media)

Das Assessment dient der Überprüfung des Endsystems. So kann z.B. überprüft werden, ob ein Virenscanner installiert ist, ob dieser aktuell ist und ob die Mindestanforderungen an ein eingesetztes Betriebssystem eingehalten werden.

Enterasys bietet hierbei eine agentenbasierte- sowie eine agentenlose Lösung an. Über das weiter unten beschriebene Assessment Application Programming Interface (API) besteht die Möglichkeit zur Integration von nahezu beliebigen weiteren Assessment-Diensten.

Integrationsmöglichkeiten

Die Enterasys Network Access Control Lösung und die durch diese Produktlinie offerierten Schnittstellen sind integraler Bestandteil der Enterasys Defense Suite. Damit ist es möglich über die SIEM sehr einfach und komfortabel auf die Features und Leistungsmerkmale der Enterasys Network Access Control Lösung zuzugreifen.

Assessment API

Ein Bestandteil dieser Lösung ist die Möglichkeit Endsysteme, bevor diese Zugriff auf Netzwerkressourcen erhalten, auf Sicherheitslücken zu überprüfen. Die in diese Lösung integrierte Scanning-Technik kann dabei agentenbasiert oder rein über das Netzwerk arbeiten.

Für die Kommunikation der verschiedenen unterstützen Assessment Produkte aus dem Hause Enterasys oder von Partnerfirmen bzw. unterstützen Drittherstellern wird ein von Enterasys entwickelter Protokoll-Stack genutzt, der die Events der Assessment-Produkte in Events, die durch die Enterasys NAC-Lösung verstanden werden, übersetzt und die Kommunikation zwischen den Devices absichert (Authentifizierung und Verschlüsselung).

Oftmals ist es so, dass Kunden, die über den Einsatz von Network Access Control Lösungen nachdenken, bereits Assessment und Patch Management Systeme im Einsatz haben. Diese bereits implementierten und erprobten Lösungsbausteine müssen dann Teil der Network Access Control Lösung werden.

Da es schier unmöglich ist, alle auf dem Markt vorhandenen Lösungen in diesem Bereich per Default zu unterstüzten, offeriert Enterasys eine eigene Assessment API (Application Programmers Interface), die es dem Kunden ermöglicht, bereits vorhandene Lösungen zu integrieren. Dabei ist es wichtig zu wissen, dass nicht nur die Events der bereits implementierten Systeme gelesen und interpretiert werden, sondern auch die Steuerung der Scans durch die Enterasys NAC-Lösung erfolgt.

Wie beim SDK (Software Development Kit), das innerhalb der Enterasys HostIntrusion Detection Lösung angeboten wird, kann der Entwickler / Administrator auch bei der NAC API die Entwicklungssprache frei wählen. Die Libraries, gegen die der Code der Assessment Engines dabei gelinkt werden muss, wird in JAVA zur Verfügung gestellt.

Durch das Bereitstellen einer aussagekräftigen und umfassenden Dokumentation mit entsprechenden Beispielen ist die Integration neuer – noch nicht unterstützter – Lösungen in die Enterasys Network Access Control Produktpalette effizient und einfach realisierbar.

Inhalt

  • Seite 1: NAC für Fortgeschrittene
  • Seite 2: Kerberos- und RADIUS-Snooping
  • Seite 3: Assessment
  • Seite 4: Web Services

Web Services

Notruf-Integration von Enterasys NAC und VoIP-Management als SOA (Archiv: Vogel Business Media)

Die Leistungsmerkmale von Enterasys Network Access Control werden über dokumentierte Web Services auch anderen Produkten und Herstellern zur Verfügung gestellt. Da hier standardisierte Webservices zum Einsatz kommen, ist natürlich auch die Einbettung beliebiger und evtuell schon vorhandener Sicherheitsdienste möglich.

Somit können die Features, die die Enterasys NAC-Lösungen abbilden können, auch von anderen Produkten genutzt werden (zum Beispiel: neue Policy für eine Liste von Endsystemen). Zur Integration eigener Applikationen muss hier der Enterasys Professional Service in Anspruch genommen werden.

Automated Security Manager

Für alle Security-Produkte von Enterasys (Defense Suite und Network Access Control) bietet der Enterasys Automated Security Manager (ASM) Schnittstellen und Features an, die genutzt werden können, um externe Devices (z.B. Router und Switche) anzusteuern und zu konfigurieren.

Durch die Flexibiltät und Erweiterungsfähigkeiten können Deployments, die mit Enterasys-Produkten realisiert wurden, in nahezu allen Firmennetzen ihren herstellerunabhängigen Mehrwert ausspielen. Auch der Leistungsumfang des ASM lässt sich dabei durch benutzerdefinierte Erweiterungen, die per Script übergeben werden können, erhöhen und somit optimal auf Kundenbedürfnisse einstellen.

Über den Autor

(Archiv: Vogel Business Media)

Markus Nispel ist als Vice President Solutions Architecture zuständig für die strategische Produkt- und Lösungsentwicklung bei Enterasys. Sein Fokus liegt auf dem Ausbau der Sicherheits- und dort insbesondere der Network-Access-Control-Lösung (NAC) von Enterasys; hier zeichnet er als Architekt verantwortlich. Diese Position knüpft an seine vorherige Tätigkeit bei Enterasys als Director Technology Marketing an. Bereits hier war er intensiv in die weltweite Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Darüber hinaus berät er Key Accounts in Zentraleuropa, Asien und dem mittleren Osten bei strategischen Netzwerkentscheidungen und verantwortet die technischen Integrationsprojekte zwischen Enterasys und der Siemens Enterprise Communications Group.

In Zentraleuropa und Asien verantwortet er zudem das Security Business Development und steht mit einem Team an Security Spezialisten für die Implementierung von Security Projekten mit höchsten Anforderungen bereit.

Vor seiner Tätigkeit für Enterasys Networks war Markus Nispel als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer 3 Switches für den europäischen Kundenstamm ein.

Markus Nispel studierte an der Fachhochschule der Deutschen Telekom in Dieburg und schloss sein Studium 1996 als Dipl.-Ing. Nachrichtentechnik erfolgreich ab. Erste Berufserfahrung sammelte er unter anderem bei der E-Plus Mobilfunk GmbH innerhalb der Netzwerkoptimierungsgruppe für DCS Mobile Networks.

Inhalt

  • Seite 1: NAC für Fortgeschrittene
  • Seite 2: Kerberos- und RADIUS-Snooping
  • Seite 3: Assessment
  • Seite 4: Web Services

(ID:2048890)