Suchen

Netzwerk-Grundlagen – Policy Enforcement, Teil 1 Policy Enforcement auf Basis von RFC 3580 und Multi-User Authentication

| Autor / Redakteur: Markus Nispel / Stephan Augsten

Die eindeutige Authentisierung eines Gerätes und/oder Users ist ein wichtiger Teil der Access Control, denn sie bilden die Grundlage fürs Policy Enforcement. Bevor wir und der Durchsetzung von Richtlinien in der Praxis widmen, betrachten wir in diesem Beitrag die verschiedenen Authentisierungsmechanismen am Beispiel der Security-Lösungen von Enterasys.

Firmen zum Thema

Um Richtlinien für bestimmte Anwender und Geräte durchzusetzen, muss man um die verschiedenen Möglichkeiten der Authentisierung wissen.
Um Richtlinien für bestimmte Anwender und Geräte durchzusetzen, muss man um die verschiedenen Möglichkeiten der Authentisierung wissen.
( Archiv: Vogel Business Media )

Auf Basis der Authentisierung eines Gerätes und/oder Benutzers gilt es Regelwerke zuzuweisen, die den Zugang mit allen Rechten und Einschränkungen kontrollieren. Bereits die unterschiedlichen Authentisierungsmöglichkeiten zeigen auf, welche differenzierte Vertrauensstellung hier abzubilden ist.

RFC 3580 – Der kleinste gemeinsame Nenner?

Die nähere Betrachtung zeigt, dass die verbreitete Methode aus dem Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abzuleiten, zahlreiche Unzulänglichkeiten birgt. Allein die Notwendigkeit, einen Campus mit weit verzweigten Layer-2-Segmenten zu überziehen, widerspricht dem allgemeinen Trend hin zu gerouteten Segmenten.

Bildergalerie

Eine Usergruppen-/VLAN-Assoziierung generiert in der Praxis mindestens eine umfangreiche Gruppe von Standardusern, vor welchen zwar der Netzwerkkern durch entsprechende Accesslisten geschützt wird, die jedoch untereinander frei und hemmungslos kommunizieren können.

Ist eines dieser Endsysteme durch Schadsoftware kompromittiert, so ist die gesamte Gruppe einer Verbreitung ausgesetzt. Daher wäre es wünschenswert, bereits am ersten Access Port zu entscheiden, welche Informationen überhaupt in das Ökosystem Netzwerk eingespeist werden dürfen.

Policies – Regeln am Rand der Zivilisation

Diese Idee führt tief in die Historie des Enterasys-Vorläufers Cabletron Systems. Bereits mit der zweiten Generation der SmartSwitch-Familie wurde in den späten 90er Jahren die dezidierte Frame-Klassifizierung etabliert. Die Idee, einen Layer-2-Switch zu einer Layer-2/3/4-Analyse zu bewegen, war zu jener Zeit aus Priorisierungsanforderungen mit Blick auf zeitkritische Applikationen wie Voice und Video heraus geboren.

Später wurde klar, dass die Unterscheidung verschiedener Protokolle am Access Port die erste Grundlage darstellt, um unerwünschte Dienste und Protokolle einfach zu verwerfen. Die Idee einer skalierbaren, verteilten Sicherheitsarchitektur eines Netzwerkes hatte etwas Faszinierendes.

„Das Konzept von Zugriffsregeln im Accessbereich hat lediglich akademischen Wert. In der Praxis ist diese Aufgabe zu komplex, um administriert zu werden.“ Diese Aussage eines namhaften Herstellers von Netzwerk-Komponenten bringt es auf den Punkt. Das Pflegen verteilter Zugriffsinformationen mit Bordmitteln ist eine Aufgabe, vor welcher jeder Administrator zurückschrecken wird.

Inhalt

  • Seite 1: Policies – Regeln am Rand der Zivilisation
  • Seite 2: Policy Management nach dem Baukasten-Prinzip
  • Seite 3: Multi-User Authentication and Policy (MUA+P)
  • Seite 4: Sichere Gastfreundschaft mit Default Policies
  • Seite 5: RFC 3580 und Distribution Layer Security

(ID:2046686)