Suchen

Netzwerk-Grundlagen – Authentisierung, Teil 2 MAC-, Web- und LLDP-Authentication als Alternativen zu IEEE 802.1x

Autor / Redakteur: Markus Nispel / Stephan Augsten

IEEE 802.1x kann zur Authentisierung zahlreicher Netzwerk- und Endgeräte verwendet werden. Für eine umfassende Zugriffskontrolle müssen aber auch jene Systeme erkannt werden, die diesen Standard nicht unterstützen. Hier empfehlen sich je nach Art und Standort der Hardware verschiedene Methoden, die wir hier genauer erläutern.

Firma zum Thema

Spezielle Geräte wie Drucker oder VoIP-Telefone erfordern eine 802.1x-unabhängige Authentisierung.
Spezielle Geräte wie Drucker oder VoIP-Telefone erfordern eine 802.1x-unabhängige Authentisierung.
( Archiv: Vogel Business Media )

Wie eine IEEE-802.1x-basierende Authentisierung mithilfe von EAP und RADIUS funktioniert, haben wir im ersten Artikel dieses Dreiteilers gelernt. In diesem Beitrag befassen wir uns mit alternativen Authentisierungsmethoden für andere Endgeräte.

Web Authentication

Endgeräte externer Mitarbeiter (Gäste, Servicepersonal, Studenten) entziehen sich dem administrativen Eingriff des Administrators. In diesem Szenario ist es also nicht praktikabel, die für die Authentisierung notwendige Konfiguration vorzunehmen.

Eine webbasierte Anmeldung, wie sie mittlerweile z.B. innerhalb öffentlicher WLAN-Hotspots üblich ist, ist ohne Konfigurationsaufwand möglich und stellt somit eine akzeptable Alternative dar. Die automatische Umleitung eines beliebigen HTTP-Aufrufes durch den Browser des Endgeräts präsentiert dem Benutzer eine Webseite mit integrierter Authentisierungsabfrage.

MAC Authentication

Endgeräte ohne standardbasierte Authentisierungsfunktionen, wie Drucker, IP-Telefone und Industrieanlagen stellen eine weitere Herausforderung dar. Hier muss man sich meist mit MAC-Adressen basierende Authentisierungsmethoden sowie einer automatische Endgeräte-Klassifizierung durch Protokolle wie Convergent Endpoint Detection (CEP) und Link Layer Discovery Protocol-Media Endpoint Discover (LLDP-MED) behelfen.

Derartige Maßnahmen lassen sich mit verhältnismäßig einfachen Mitteln kompromittieren und sind deshalb grundsätzlich als schwächere Sicherheitsbarriere anzusehen. Dieses Manko erfordert eine dediziertere Endgerätekontrolle, welche über eine binäre Zugriffsentscheidung hinaus geht.

Die im Weiteren erläuterte Kombination aus Authentisierung und Access Policys (Zugriffsrichtlinien) ermöglicht den Zugriff in eingeschränkter Form. Daraus resultiert, dass der Versuch, sich z.B. mittels einer MAC Adresse eines Druckers Zugang auf das Netz zu verschaffen, lediglich die Kommunikation mit dem zugewiesenen Printserver herstellt. Diese Einschränkung reduziert den Erfolg eines solchen Angriffs auf ein Minimum.

Seite 2: Geräte mittels CEP und LLDP erkennen

(ID:2046372)