Suchen

Netzwerk-Grundlagen – Authentisierung, Teil 3 Multi User und Multi Method Authentication mit der Enterasys N-Serie

Autor / Redakteur: Markus Nispel / Stephan Augsten

Was IEEE 802.1x und unterstützende Authentisierungsmethoden leisten, haben wir bereits gelernt. In diesem Beitrag wird anhand der N-Serie von Enterasys beleuchtet, wie man mit Geräten ohne Authentisierungsfeatures umgeht. Außerdem widmen wir uns der Priorisierung der verschiedenen Authentication-Mechanismen.

Firma zum Thema

Die Multi User Authentication erlaubt eine geräteunabhängige Authentisierung der Nutzer.
Die Multi User Authentication erlaubt eine geräteunabhängige Authentisierung der Nutzer.
( Archiv: Vogel Business Media )

Als Mitautor der IEEE-Standards und somit Wegbereiter sicherer LANs hat Enterasys Networks schon frühzeitig damit begonnen, auch bestehende Produkte nachträglich mit den erforderlichen Funktionen zu versehen. Diese Strategie reicht zurück bis zur zweiten Generation von Cabletron SmartSwitch Komponenten aus dem Jahr 1998, welche über die notwendigen Authentisierungsmöglichkeiten verfügen.

Multi-User-Authentication

In gewachsenen, heterogenen Netzwerken ist damit zu rechnen, dass nicht alle Access Komponenten über Authentisierungsfeatures verfügen. Die N-Serie löst dieses Problem durch eine integrierte Multi-User-Authentication, welche es ermöglicht auf den Uplinks bis zu 256 Benutzer individuell zu authentisieren (Aufmacherbild).

Bestehende Lösungen, aber auch neue Fiber-to-the-Office Konzepte, bei welchen einfache Kanalswitche im Access-Bereich eingesetzt werden, lassen sich somit flächendeckend realisieren. Dabei ist zu berücksichtigen, dass die bei der 802.1x Anmeldung verwendeten EAPoL Pakete von diesen „simplen“ Access Switchen weitergeleitet werden müssen.

Dies wird auch als EAP-Passthrough bezeichnet und ist bei allen Enterasys SecureStacks verfügbar. Bei älteren Komponenten muss sichergestellt sein, dass dies auch möglich ist; manchmal muss hierfür Spanning Tree ausgeschaltet oder ähnliche Konfigurationsänderungen vorgenommen werden.

Seite 2: Multi-Method Authentication und MACSec

Multi-Method Authentication

Mit der N-Serie ist Enterasys Networks nicht nur in der Lage, mehrere User gleichzeitig auf einem Port zu authentifizieren und jedem eine eigene Policy zuzuweisen. Es lassen sich auchg verschiedene Authentifizierungsmethoden gleichzeitig auf dem Port betreiben.

Normalerweise geht man davon aus, dass jedes Gerät sich nur einmal authentifiziert; also der User an seinem PC über 802.1x, der Gast mit seinem Laptop über PWA, der Drucker basierend auf MAC Authentication. Aber was passiert, wenn der PC auch über MAC Authentication authentifiziert ist und sich die entsprechenden Profile auch noch widersprechen?

Abgesehen davon, dass dann das Security Design und die Policys überarbeitet werden sollten, hat Enterasys Networks dieses Problem im Griff: Die Authentifizierung läuft über so genannte Authentication Sessions.

Hat ein User jetzt mehrere Authentication Sessions offen, so wird nur eine wirklich genutzt. Bis zu drei Sessions gleichzeitig sind möglich, denn ein User kann über 802.1x, PWA oder MAC Authentication angemeldet sein.

Die Authentifizierungsmethoden werden nach Prioritätsregeln angewandt. Die Default-Prioritäten sehen folgendermaßen aus:

  • IEEE 802.1x
  • Port Web Authentication
  • MAC Authentication
  • CEP (Convergent Endpoint Detection)

Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x authentifiziert, aber basierend auf der MAC-Adresse lief auch MAC Authentication im Hintergrund, da beide Methoden auf dem Port aktiviert sind. Da die 802.1x Session höhere Priorität hat als die MAC Session, wird diese angewandt und die entsprechende Rolle dem User zugewiesen.

MACSec IEEE 802.1ae

Der MACSec-Standard wurde am 8. Juni 2006 verabschiedet. Er dient in der verbindungslosen 802-Welt zur Sicherung der Integrität jedes übertragenen Datenpaketes, zur Sicherung der Authentizität und zur Abwehr von „Lauschangriffen“ auf die transportierten Daten.

Der Standard dient hierbei zur „Hop by Hop“-Verschlüsselung, Authentifizierung und Integritätsprüfung. Er wird zwischen Endsystemen und dem nächsten Switch bzw. auch alternativ (aber wohl selten) zwischen Switchen zum Einsatz kommen können. Das dazu notwendige Schlüsselmanagement nach 802.1af ist jedoch noch im Draft (eine Erweiterung des 802.1x), so dass hier noch etwas Geduld notwendig ist.

Die Hersteller von MAC PHYs versprechen sich natürlich hiervon mehr Geschäft, da komplexere Chips inklusive Verschlüsselung teurer werden können. Jedoch geht man davon aus, dass eine breite Anwendung erst stattfindet, wenn die Preise zu bestehenden MAC PHYs vergleichbar sind.

Die potentiellen Anwendungsbereiche reichen von der sicheren Trennung von Kunden in der gleichen Layer 2 Domain eines Service Providers (Ethernet First Mile etc.) über die Sicherung von MAN-Netzen zwischen Unternehmungen hin zur erweiterten Sicherung von heutigen 802.1x Unternehmensinstallationen mit Verschlüsselung und Integritätswahrung von Endgerät zum Switch (wie es heute auch schon in der Wireless LAN802.11 Welt vorhanden ist) und der Sicherheit, dass man nur Verbindungen zu Geräten erstellt, die einem gewissen Trust-Level entsprechen.

Über den Autor

(Archiv: Vogel Business Media)

Markus Nispel ist als Vice President Solutions Architecture zuständig für die strategische Produkt- und Lösungsentwicklung bei Enterasys. Sein Fokus liegt auf dem Ausbau der Sicherheits- und dort insbesondere der Network-Access-Control-Lösung (NAC) von Enterasys; hier zeichnet er als Architekt verantwortlich. Diese Position knüpft an seine vorherige Tätigkeit bei Enterasys als Director Technology Marketing an. Bereits hier war er intensiv in die weltweite Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Darüber hinaus berät er Key Accounts in Zentraleuropa, Asien und dem mittleren Osten bei strategischen Netzwerkentscheidungen und verantwortet die technischen Integrationsprojekte zwischen Enterasys und der Siemens Enterprise Communications Group.

In Zentraleuropa und Asien verantwortet er zudem das Security Business Development und steht mit einem Team an Security Spezialisten für die Implementierung von Security Projekten mit höchsten Anforderungen bereit.

Vor seiner Tätigkeit für Enterasys Networks war Markus Nispel als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer 3 Switches für den europäischen Kundenstamm ein.

Markus Nispel studierte an der Fachhochschule der Deutschen Telekom in Dieburg und schloss sein Studium 1996 als Dipl.-Ing. Nachrichtentechnik erfolgreich ab. Erste Berufserfahrung sammelte er unter anderem bei der E-Plus Mobilfunk GmbH innerhalb der Netzwerkoptimierungsgruppe für DCS Mobile Networks.

(ID:2046380)