Suchen

Netzwerk-Grundlagen – Authentisierung, Teil 3

Multi User und Multi Method Authentication mit der Enterasys N-Serie

Seite: 2/2

Firma zum Thema

Multi-Method Authentication

Mit der N-Serie ist Enterasys Networks nicht nur in der Lage, mehrere User gleichzeitig auf einem Port zu authentifizieren und jedem eine eigene Policy zuzuweisen. Es lassen sich auchg verschiedene Authentifizierungsmethoden gleichzeitig auf dem Port betreiben.

Normalerweise geht man davon aus, dass jedes Gerät sich nur einmal authentifiziert; also der User an seinem PC über 802.1x, der Gast mit seinem Laptop über PWA, der Drucker basierend auf MAC Authentication. Aber was passiert, wenn der PC auch über MAC Authentication authentifiziert ist und sich die entsprechenden Profile auch noch widersprechen?

Abgesehen davon, dass dann das Security Design und die Policys überarbeitet werden sollten, hat Enterasys Networks dieses Problem im Griff: Die Authentifizierung läuft über so genannte Authentication Sessions.

Hat ein User jetzt mehrere Authentication Sessions offen, so wird nur eine wirklich genutzt. Bis zu drei Sessions gleichzeitig sind möglich, denn ein User kann über 802.1x, PWA oder MAC Authentication angemeldet sein.

Die Authentifizierungsmethoden werden nach Prioritätsregeln angewandt. Die Default-Prioritäten sehen folgendermaßen aus:

  • IEEE 802.1x
  • Port Web Authentication
  • MAC Authentication
  • CEP (Convergent Endpoint Detection)

Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x authentifiziert, aber basierend auf der MAC-Adresse lief auch MAC Authentication im Hintergrund, da beide Methoden auf dem Port aktiviert sind. Da die 802.1x Session höhere Priorität hat als die MAC Session, wird diese angewandt und die entsprechende Rolle dem User zugewiesen.

MACSec IEEE 802.1ae

Der MACSec-Standard wurde am 8. Juni 2006 verabschiedet. Er dient in der verbindungslosen 802-Welt zur Sicherung der Integrität jedes übertragenen Datenpaketes, zur Sicherung der Authentizität und zur Abwehr von „Lauschangriffen“ auf die transportierten Daten.

Der Standard dient hierbei zur „Hop by Hop“-Verschlüsselung, Authentifizierung und Integritätsprüfung. Er wird zwischen Endsystemen und dem nächsten Switch bzw. auch alternativ (aber wohl selten) zwischen Switchen zum Einsatz kommen können. Das dazu notwendige Schlüsselmanagement nach 802.1af ist jedoch noch im Draft (eine Erweiterung des 802.1x), so dass hier noch etwas Geduld notwendig ist.

Die Hersteller von MAC PHYs versprechen sich natürlich hiervon mehr Geschäft, da komplexere Chips inklusive Verschlüsselung teurer werden können. Jedoch geht man davon aus, dass eine breite Anwendung erst stattfindet, wenn die Preise zu bestehenden MAC PHYs vergleichbar sind.

Die potentiellen Anwendungsbereiche reichen von der sicheren Trennung von Kunden in der gleichen Layer 2 Domain eines Service Providers (Ethernet First Mile etc.) über die Sicherung von MAN-Netzen zwischen Unternehmungen hin zur erweiterten Sicherung von heutigen 802.1x Unternehmensinstallationen mit Verschlüsselung und Integritätswahrung von Endgerät zum Switch (wie es heute auch schon in der Wireless LAN802.11 Welt vorhanden ist) und der Sicherheit, dass man nur Verbindungen zu Geräten erstellt, die einem gewissen Trust-Level entsprechen.

Über den Autor

(Archiv: Vogel Business Media)

Markus Nispel ist als Vice President Solutions Architecture zuständig für die strategische Produkt- und Lösungsentwicklung bei Enterasys. Sein Fokus liegt auf dem Ausbau der Sicherheits- und dort insbesondere der Network-Access-Control-Lösung (NAC) von Enterasys; hier zeichnet er als Architekt verantwortlich. Diese Position knüpft an seine vorherige Tätigkeit bei Enterasys als Director Technology Marketing an. Bereits hier war er intensiv in die weltweite Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Darüber hinaus berät er Key Accounts in Zentraleuropa, Asien und dem mittleren Osten bei strategischen Netzwerkentscheidungen und verantwortet die technischen Integrationsprojekte zwischen Enterasys und der Siemens Enterprise Communications Group.

In Zentraleuropa und Asien verantwortet er zudem das Security Business Development und steht mit einem Team an Security Spezialisten für die Implementierung von Security Projekten mit höchsten Anforderungen bereit.

Vor seiner Tätigkeit für Enterasys Networks war Markus Nispel als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer 3 Switches für den europäischen Kundenstamm ein.

Markus Nispel studierte an der Fachhochschule der Deutschen Telekom in Dieburg und schloss sein Studium 1996 als Dipl.-Ing. Nachrichtentechnik erfolgreich ab. Erste Berufserfahrung sammelte er unter anderem bei der E-Plus Mobilfunk GmbH innerhalb der Netzwerkoptimierungsgruppe für DCS Mobile Networks.

(ID:2046380)