Netzwerk-Grundlagen – Authentisierung, Teil 2

MAC-, Web- und LLDP-Authentication als Alternativen zu IEEE 802.1x

03.08.2010 | Autor / Redakteur: Markus Nispel / Stephan Augsten

Spezielle Geräte wie Drucker oder VoIP-Telefone erfordern eine 802.1x-unabhängige Authentisierung.
Spezielle Geräte wie Drucker oder VoIP-Telefone erfordern eine 802.1x-unabhängige Authentisierung.

IEEE 802.1x kann zur Authentisierung zahlreicher Netzwerk- und Endgeräte verwendet werden. Für eine umfassende Zugriffskontrolle müssen aber auch jene Systeme erkannt werden, die diesen Standard nicht unterstützen. Hier empfehlen sich je nach Art und Standort der Hardware verschiedene Methoden, die wir hier genauer erläutern.

Wie eine IEEE-802.1x-basierende Authentisierung mithilfe von EAP und RADIUS funktioniert, haben wir im ersten Artikel dieses Dreiteilers gelernt. In diesem Beitrag befassen wir uns mit alternativen Authentisierungsmethoden für andere Endgeräte.

Web Authentication

Endgeräte externer Mitarbeiter (Gäste, Servicepersonal, Studenten) entziehen sich dem administrativen Eingriff des Administrators. In diesem Szenario ist es also nicht praktikabel, die für die Authentisierung notwendige Konfiguration vorzunehmen.

Eine webbasierte Anmeldung, wie sie mittlerweile z.B. innerhalb öffentlicher WLAN-Hotspots üblich ist, ist ohne Konfigurationsaufwand möglich und stellt somit eine akzeptable Alternative dar. Die automatische Umleitung eines beliebigen HTTP-Aufrufes durch den Browser des Endgeräts präsentiert dem Benutzer eine Webseite mit integrierter Authentisierungsabfrage.

MAC Authentication

Endgeräte ohne standardbasierte Authentisierungsfunktionen, wie Drucker, IP-Telefone und Industrieanlagen stellen eine weitere Herausforderung dar. Hier muss man sich meist mit MAC-Adressen basierende Authentisierungsmethoden sowie einer automatische Endgeräte-Klassifizierung durch Protokolle wie Convergent Endpoint Detection (CEP) und Link Layer Discovery Protocol-Media Endpoint Discover (LLDP-MED) behelfen.

Derartige Maßnahmen lassen sich mit verhältnismäßig einfachen Mitteln kompromittieren und sind deshalb grundsätzlich als schwächere Sicherheitsbarriere anzusehen. Dieses Manko erfordert eine dediziertere Endgerätekontrolle, welche über eine binäre Zugriffsentscheidung hinaus geht.

Die im Weiteren erläuterte Kombination aus Authentisierung und Access Policys (Zugriffsrichtlinien) ermöglicht den Zugriff in eingeschränkter Form. Daraus resultiert, dass der Versuch, sich z.B. mittels einer MAC Adresse eines Druckers Zugang auf das Netz zu verschaffen, lediglich die Kommunikation mit dem zugewiesenen Printserver herstellt. Diese Einschränkung reduziert den Erfolg eines solchen Angriffs auf ein Minimum.

Seite 2: Geräte mittels CEP und LLDP erkennen

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046372 / Protokolle und Standards)